1/2025. (I. 31.) SZTFH rendelet

a kiberbiztonsági audit lefolytatásának rendjéről és a kiberbiztonsági audit legmagasabb díjáról

2025.02.03.

[1] Kiemelten fontos a nemzet biztonsága érdekében a fenyegetések és kockázatok elleni védekezés, amely magában foglalja a személyek, eszközök, információk és infrastruktúrák védelmét. Mindez egyben jelenti a fizikai biztonságot – így különösen az épületek, berendezések védelmét – és az információbiztonságot, ideértve az adatok védelmét.

[2] A hálózatba kapcsolt digitális eszközöknek, rendszereknek a fizikai és virtuális térben történő egyidejű használata az élet mindennapi részévé vált. A hálózatok sérülékenységére kockázatot jelentő, a kibertérben felmerülő – ma már a világ bármely pontjáról érkező – kiberfenyegetések folyamatosan növekvő száma miatt a kiberbiztonsági szabályozás célja a kibertámadások megelőzése és a már bekövetkezett incidensek hatásainak csökkentése.

[3] A nemzetgazdaság biztonságos működése érdekében kiemelten fontos az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása.

[4] A globális védekezés szükségességét felismerve alkotta meg az Európai Unió az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvet, amely egy egységes védelmi háló kialakítását célozza meg, biztosítva a gazdaság működéséhez szükséges szervezetek magas szintű védelmét.

[5] A Szabályozott Tevékenységek Felügyeleti Hatósága elnöke rendeletének célja a fenti célkitűzésekkel összhangban a kiberbiztonsági követelmények teljesülésének vizsgálatára irányuló kiberbiztonsági audit alapvető szabályainak lefektetése, valamint a kiberbiztonsági audit rendeletben korlátozott díjának meghatározása. A kiberbiztonsági audit célja, hogy egy független auditor vizsgálja meg azt, hogy az audittal érintett szervezetek elektronikus információs rendszerei mennyire ellenállóak a kiberbiztonsági fenyegetésekkel szemben.

[6] A hazai gazdaságban a vállalkozások alkotják a gazdasági struktúra gerincét. A rendelet megalkotását megelőzően a Szabályozott Tevékenységek Felügyeleti Hatósága és a Magyar Kereskedelmi és Iparkamara több alkalommal is egyeztetett annak érdekében, hogy a rendelet hatálya alá tartozó cégek kiberbiztonságra fordított adminisztrációs terhei és költségei mérsékeltek maradjanak.

[7] A kiberbiztonság ugyanakkor nemcsak az adatok védelmét szolgálja, hanem hozzájárul a vállalatok pénzügyi stabilitásához, és hosszú távon megerősítheti a vállalatok versenyképességét is, hiszen egy erős kiberbiztonsági rendszer növeli az ügyfelek bizalmát, és védelmet nyújt a potenciális károkkal szemben.

[8] A cselekvő állam részeként a Szabályozott Tevékenységek Felügyeleti Hatóságának célja, hogy a megfelelő kiberbiztonsági intézkedések biztosítsák az adatok bizalmasságát, sértetlenségét és rendelkezésre állását, ami hozzájárul Magyarország és az Európai Unió biztonságához, ellenálló képességének és versenyképességének növeléséhez.

[9] A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény 81. § (6) bekezdés c) pontjában kapott felhatalmazás alapján, a Szabályozott Tevékenységek Felügyeleti Hatóságáról szóló 2021. évi XXXII. törvény 13. § n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § (1) A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: Kiberbiztonsági tv.) 16. § (1) bekezdése szerinti kiberbiztonsági auditot (a továbbiakban: kiberbiztonsági audit) a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartásáról és az auditorral szemben támasztott követelményekről szóló SZTFH rendelet alapján nyilvántartásba vett auditor végezhet.

(2) A kiberbiztonsági audit során az auditor ellenőrzi

a) a Kiberbiztonsági tv. 1. § (1) bekezdés b) pontja szerinti azon szervezet, amely egyúttal a Kiberbiztonsági tv. 2. és 3. melléklete szerinti szervezet is, valamint a Kiberbiztonsági tv. 1. § (1) bekezdés d) pontja és – a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény szerinti mikrovállalkozás kivételével – a Kiberbiztonsági tv. 1. § (1) bekezdés e) pontja szerinti szervezet (a továbbiakban együtt: szervezet) valamennyi elektronikus információs rendszerének biztonsági osztályba sorolása, valamint

b) a szervezet – auditor által kijelölt – elektronikus információs rendszerei biztonsági osztályának megfelelő, a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló 7/2024. (VI. 24.) MK rendelet (a továbbiakban: MKr.) szerinti védelmi intézkedések alkalmazását, és felméri a védelmi intézkedések

megfelelőségét bizonyítékok begyűjtésére és az azok objektív kiértékelésére irányuló módszeres, független és dokumentált eljárás lefolytatásával.

(3) A kiberbiztonsági audit kiterjed

a) a kockázatmenedzsment keretrendszer és a biztonsági osztályba sorolás,

b) az elektronikus információs rendszerekhez kapcsolódó, a szervezet elektronikus információs rendszereinek védelmével összefüggő dokumentumok − ideértve a szervezet belső szabályozó eszközeit, szerződéseket −, illetve eljárások,

c) az elektronikus információs rendszerekben alkalmazott hardver, szoftver vagy firmware elemekben megvalósított funkciók, kezelésükre vonatkozó bizonyítékok, a kihelyezett (irányított) infokommunikációs szolgáltatást nyújtó szolgáltatóval szembeni elvárások,

d) az elektronikus információs rendszerek védelmét támogató folyamatokban részt vevő valamennyi természetes személy ilyen irányú tevékenysége,

e) az elektronikus információs rendszerek védelme tekintetében a személyi feltételek és az ehhez kapcsolódó munkaköri felelősségek, valamint

f) a szervezet által meghatározott eljárások gyakorlati megvalósulása

vizsgálatára.

2. § (1) A kiberbiztonsági auditot

a) „alap” biztonsági osztályba sorolt elektronikus információs rendszer esetén „alap”, „jelentős” vagy „magas” biztonsági osztályra,

b) „jelentős” biztonsági osztályba sorolt elektronikus információs rendszer esetén „jelentős” vagy „magas” biztonsági osztályra,

c) „magas” biztonsági osztályba sorolt elektronikus információs rendszer esetén „magas” biztonsági osztályra

nyilvántartásba vett auditor végezheti.

(2) A kiberbiztonsági audit során az MKr. szerinti védelmi intézkedések vizsgálatának módszereként

a) a dokumentumvizsgálat,

b) az interjú,

c) a teszt vagy

d) a Kiberbiztonsági tv. 22. § (1) bekezdése szerinti vizsgálati tevékenységek

alkalmazhatóak.

(3) A kiberbiztonsági auditban közreműködő vizsgáló laboratórium jogosult a (2) bekezdésben felsorolt vizsgálati módszereket alkalmazni.

3. § (1) Az 1. § (2) bekezdés b) pontja szerinti vizsgálat kiterjed a szervezet

a) „alap” biztonsági osztályba sorolt elektronikus információs rendszereinek legalább 40%-ára, de ha van, legalább egy „alap”,

b) „jelentős” biztonsági osztályba sorolt elektronikus információs rendszereinek legalább 60%-ára, de ha van, legalább egy „jelentős”,

c) „magas” biztonsági osztályba sorolt elektronikus információs rendszereinek legalább 70%-ára, de ha van, legalább egy „magas”

elektronikus információs rendszerére.

(2) Az 1. § (2) bekezdés b) pontja szerinti vizsgálatnak a szervezet összes elektronikus információs rendszerének legalább 50%-ára ki kell terjednie.

(3) A kiberbiztonsági audit elvégzésére vonatkozó megállapodás (a továbbiakban: megállapodás) megkötése céljából a szervezet az elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó 1. melléklet szerinti nyilvántartást, valamint a kitöltött, a szervezetre vonatkozó 2. melléklet szerinti kérdőívet az auditor rendelkezésére bocsátja. A 2. melléklet szerinti kérdőívhez tartozó kitöltési útmutatót a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: Hatóság) honlapján közzéteszi.

(4) A szervezet az auditor részére átadja a korábban lefolytatott kiberbiztonsági audit eredményét, valamint az annak során keletkezett bizonyítékokat, az elektronikus információs rendszerekre és eszközökre, szervezetre nemzetközi egyezmények vagy nemzetközi szabványok alapján, illetve az ezeken alapuló hazai követelmények vagy ajánlások alapján kiadott biztonsági tanúsítványokat, illetve a független, képesített ellenőr által készített ellenőri jelentéseket.

(5) Az auditor a (3) és (4) bekezdés szerinti adatok alapján, az (1) és (2) bekezdés alkalmazásával jelöli ki az 1. § (2) bekezdés b) pontja szerinti vizsgálattal érintett elektronikus információs rendszereket.

(6) Ha a szervezetnél már végeztek kiberbiztonsági auditot, akkor a kijelölésnél az auditornak figyelembe kell vennie a korábban lefolytatott kiberbiztonsági auditot, és az (5) bekezdés szerinti kijelölést úgy kell elvégeznie, hogy az a korábban lefolytatott kiberbiztonsági audittal együttesen kiterjedjen

a) az „alap” biztonsági osztályba sorolt elektronikus információs rendszerek legalább 70%-ára és

b) az összes „jelentős” vagy „magas” biztonsági osztályba sorolt elektronikus információs rendszerre.

(7) A korábban lefolytatott kiberbiztonsági auditot követően létrehozott, valamint a korábban lefolytatott kiberbiztonsági audit eredményeként „nem felel meg” értékelést kapott elektronikus információs rendszereket az auditornak az 1. § (2) bekezdés b) pontja szerinti vizsgálatra ki kell jelölnie.

4. § (1) A kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díját a 3. melléklet tartalmazza.

(2) A szervezet a megállapodásban meghatározza azokat a kapcsolattartó személyeket, akik a kiberbiztonsági audit során gondoskodnak a 2. § (2) bekezdés a) pontja szerinti dokumentumvizsgálathoz szükséges dokumentumok auditor részére történő rendelkezésre bocsátásáról, valamint biztosítják a 2. § (2) bekezdés b)–d) pontja szerinti vizsgálatok elvégzésének feltételeit.

(3) Az auditor meghatározza a kiberbiztonsági audit lefolytatásának ütemezését, ennek keretében rész- és véghatáridőt határozhat meg a Kiberbiztonsági tv.-ben a kiberbiztonsági audit elvégzésére meghatározott határidőkre figyelemmel.

(4) A szervezet által a kiberbiztonsági audit során átadott dokumentumok, az audit eljárás és eredménytermékeinek nyelve a magyar, amitől a felek a megállapodásban eltérhetnek.

5. § (1) A kiberbiztonsági audit megkezdése előtt az auditor auditálási tervet készít, amely tartalmazza

a) a kiberbiztonsági audit lefolytatásában részt vevő személyek megnevezését,

b) „jelentős” vagy „magas” biztonsági osztályba sorolt elektronikus információs rendszerre kiterjedő audit esetén a közreműködő vizsgáló laboratóriumot és a vizsgáló laboratórium által a kiberbiztonsági audit során elvégzendő tevékenységek körét,

c) a szervezet által átadott, a 4. melléklet szerinti eltérések és helyettesítő védelmi intézkedések nyilvántartását,

d) az 1. § (2) bekezdés b) pontja szerinti vizsgálatra kijelölt elektronikus információs rendszerek megnevezését,

e) az auditálási folyamatban azoknak az eljárásoknak a meghatározását, amelyekben az szervezet aktív közreműködése szükséges, megjelölve a közreműködés módját, valamint

f) az auditálási folyamat tervezett ütemezését.

(2) Az auditálási tervet az auditor a szervezet részére átadja.

(3) Az auditor jogosult a kiberbiztonsági audit során minden, a szervezet és elektronikus információs rendszerei biztonságával kapcsolatba hozható dokumentum megismerésére.

(4) Az elektronikus információs rendszerek biztonságáért felelős személy a kiberbiztonsági audit során az auditor által meghatározott módon – helyszínen, illetve távolról – biztosítja és végigköveti a kiberbiztonsági audit folyamatát.

(5) A kiberbiztonsági audit során az auditor az 5. melléklet szerinti auditori módszertan alapján jár el.

(6) Az 1. § (2) bekezdés b) pontja szerinti vizsgálat során az MKr. szerinti egyes követelménycsoportok esetében alkalmazandó vizsgálati módszereket, valamint a követelménycsoportok kiberbiztonsági audit eljárás szempontjából lényeges jellemzőit a 6. melléklet tartalmazza. Az MKr. szerinti követelménycsoportok esetében vizsgálandó, a követelményben megfogalmazott biztonsági cél teljesülését biztosító elemi követelményeket a 7. melléklet tartalmazza.

(7) A kiberbiztonsági audit lezárásakor az auditor a kiberbiztonsági audit során keletkezett bizonyítékokat és az audit eredményét tartalmazó, a 8. melléklet szerinti tartalommal összeállított magyar nyelvű auditjelentést legalább fokozott biztonságú elektronikus aláírással vagy bélyegzővel ellátott, nyomtatható formátumban megküldi a vizsgált szervezetnek.

(8) Az auditor a (7) bekezdés szerinti auditjelentést, valamint annak a Hatóság által a honlapján meghatározott, gépi feldolgozást biztosító specifikáció szerinti változatát haladéktalanul, de legkésőbb az auditjelentés kiállítását követő 7 napon belül megküldi a Hatóság részére.

(9) Az auditor a kiberbiztonsági auditjelentés mellékleteként auditigazolást állít ki, amely tartalmazza

a) a kiállító auditor megnevezését, székhelyének címét és a Hatóság általi nyilvántartásba vételekor kapott azonosító számát,

b) a szervezet megnevezését és székhelyének címét,

c) az auditigazolás kiállításának dátumát,

d) a vizsgált elektronikus információs rendszerek számát,

e) a szervezet ellenálló-képességi indexének az 5. melléklet 2.3.2. pontjában foglalt táblázat C oszlopa szerinti szövegszerű értékelését.

6. § (1) Az auditor részére a szervezet által átadott információk, adatok, dokumentumok magas szintű védelmét az auditor adminisztratív, fizikai, illetve logikai eszközökkel biztosítja.

(2) Az auditor a vizsgálati eredményeket és az azokhoz tartozó bizonyítékokat kizárólag a vizsgált szervezet és a Hatóság részére adhatja át.

(3) A szervezet az auditor által átadott bizonyítékokat a kiberbiztonsági audit lezárásának időpontjától számított 5 évig megőrzi.

7. § Ez a rendelet a kihirdetését követő 3. napon lép hatályba.

8. § Ez a rendelet az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) szóló, 2022. december 14-i (EU) 2022/2555 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.

1. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

Elektronikus információs rendszerek nyilvántartása

	A	B	C	D	E	F	G
1.	Elektronikus információs rendszer (a továbbiakban: EIR) megnevezése	Az EIR által támogatott üzleti cél	MKr. 1. melléklete szerinti besorolási szempont azonosító	Szempont teljesülése bizalmasság szempontjából (Igen/Nem)	Szempont teljesülése sértetlenség szempontjából (Igen/Nem)	Szempont teljesülése rendelkezésre állás szempontjából (Igen/Nem)	Indoklás
2.			Az „alap” biztonsági osztály esetében legfeljebb csekély káresemény következhet be, mivel
3.			2.2.2.1.
4.			2.2.2.2.
5.			2.2.2.3.
6.			2.2.2.4.
7.			A „jelentős” biztonsági osztály esetében közepes káresemény következhet be, mivel
8.			2.2.3.1.
9.			2.2.3.2.
10.			2.2.3.3.
11.			2.2.3.4.
12.			2.2.3.5.
13.			A „magas” biztonsági osztály esetében nagy káresemény következhet be, mivel
14.			2.2.4.1.
15.			2.2.4.2.
16.			2.2.4.3.
17.			2.2.4.4.
18.			2.2.4.5.
19.			2.2.4.6.
20.			2.2.4.7.

2. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

A szervezetre vonatkozó kérdőív

	A	B
1.	Kérdés	Válasz
2.	A szervezet előző üzleti évi nettó árbevétele
3.	Azonosított EIR-ek száma (db)
4.	„Alap” biztonsági osztályba sorolt EIR-ek száma (db)
5.	„Jelentős” biztonsági osztályba sorolt EIR-ek száma (db)
6.	„Magas” biztonsági osztályba sorolt EIR-ek száma (db)
7.	„Jelentős” biztonsági osztályba sorolt EIR-ekben található egyedi fejlesztésű szoftverek száma (db)
8.	„Magas” biztonsági osztályba sorolt EIR-ekben található egyedi fejlesztésű szoftverek száma (db)
9.	Nyilvános szolgáltatások száma (db)
10.	Publikus doménnevek száma (db)
11.	Üzemeltetett szerverek száma (db)
12.	Magyarországi telephelyek száma (db)
13.	A szervezet munkavállalóinak száma (fő)
14.	A szervezet végez-e rendszerüzemeltetést? (igen/nem)
15.	A szervezet saját szervertermet üzemeltet? (igen/nem)
16.	A szervezet végez-e informatikai fejlesztési tevékenységet? (igen/nem)
17.	A szervezet kizárólag integrált szolgáltatást nyújtó kész (dobozos) szoftvereket használ? (igen/nem)
18.	A szervezetnél van-e egyedileg fejlesztett kódot futtató EIR? (igen/nem)
19.	A szervezet igénybe vesz-e Software-as-a-Service szolgáltatást?
20.	Mennyi felhasználói végpont található a szervezetnél? (db)
21.	ebből desktop, laptop (db)
22.	ebből céges mobiltelefon (db)
23.	Magántulajdonú végpontról EIR-elérés engedélyezett-e?
24.	A szervezet EIR-jeinek felhasználószáma (db)
25.	ebből munkavállaló
26.	ebből szolgáltatásként igénybe vevő külső fél

3. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

A kiberbiztonsági audit legmagasabb díja

1. A kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díját a következők szerint kell kiszámítani.

1.1. A szervezet előző üzleti évi nettó árbevétele alapján a következő táblázat szerinti szorzószámot kell figyelembe venni.

	A	B
1.	A szervezet előző üzleti évi nettó árbevétele	Szorzószám
2.	árbevétel ≤ 1 milliárd Ft	0,9
3.	1 milliárd Ft < árbevétel ≤ 5 milliárd Ft	1,1
4.	5 milliárd Ft < árbevétel ≤ 10 milliárd Ft	1,9
5.	10 milliárd Ft < árbevétel ≤ 15 milliárd Ft	2,5
6.	15 milliárd Ft < árbevétel ≤ 25 milliárd Ft	2,75
7.	25 milliárd Ft < árbevétel ≤ 40 milliárd Ft	3
8.	árbevétel > 40 milliárd Ft	4

1.2. A szervezet 1. mellékletben szereplő elektronikus információs rendszereinek darabszáma alapján a következő táblázat szerinti szorzószámot kell figyelembe venni.

	A	B
1.	EIR-ek darabszáma	Szorzószám
2.	1–5	1
3.	6–15	2,5
4.	16 vagy annál több	4

1.3. A szervezet 1. mellékletben szereplő elektronikus információs rendszerei biztonsági osztálya alapján a következő szorzószámot kell figyelembe venni:

1.3.1. ha a szervezet valamennyi elektronikus információs rendszerének biztonsági osztálya „alap” biztonsági osztály, a szorzószám 1,

1.3.2. – az 1.3.3. pont kivételével – ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „jelentős” biztonsági osztály, a szorzószám 3,

1.3.3. ha a szervezet bármely elektronikus információs rendszerének biztonsági osztálya „magas” biztonsági osztály, a szorzószám 5.

1.4. A kiberbiztonsági audit – általános forgalmi adó nélkül számított – legmagasabb díja az 1.1., 1.2. és az 1.3. pont szerinti szorzószámok, valamint 1 750 000 forint szorzataként előálló összeg.

4. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

Eltérések és helyettesítő védelmi intézkedések nyilvántartása

	A	B	C	D	E	F	G	H
1.	Érintett EIR megnevezése	Követelménycsoport hivatkozás az MKr. 2. melléklete szerint	Relevancia	Releváns esetben helyettesítő kontrollcsoport	Eltérés vagy helyettesítő védelmi intézkedés okának típusa az MKr. 1. melléklet 3.2.1–3.2.7. pontja és 4.2–4.2.4. pontja alapján	A kontrollcsoport szempontjából releváns összes fenyegetés az MKr. 3. melléklete szerint	A kontrollcsoport szempontjából releváns összes fenyegetés kockázati szintje	A maradvány-kockázatok felvállalásának indoklása
2.
3.
4.

5. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

Auditori módszertan

1. A vizsgálati módszerek

1.1. Általános szabályok

1.1.1. Az audit módszertan a NIST Special Publication 800-53A Revision 5 dokumentum alapján került kialakításra.

1.1.2. A vizsgálatok célja annak megállapítása és bizonyítékokkal történő alátámasztása, hogy

1.1.2.1. az MKr. szerinti elvárt védelmi intézkedések megvalósítása nem tartalmaz hiányosságokat és hibákat,

1.1.2.2. az MKr. szerinti védelmi intézkedések tervezett módon, megfelelően működnek.

1.1.3. Az MKr. szerinti egyes követelménycsoportok értékelésére az 1.2.1–1.2.3.2. pont szerinti vizsgálati módszerek alkalmazandóak.

1.1.4. A bizonyítékok rendelkezésre bocsátásának, a dokumentumok vizsgálatra történő átadásának, az interjúkérdések megválaszolásának, illetve a tesztek feltételei biztosításának elmulasztása az adott követelményre „nem megfelelt” döntést eredményez.

1.2. Általános vizsgálati módszerek

1.2.1. Dokumentumvizsgálat

1.2.1.1. A dokumentumvizsgálat során az elektronikus információs rendszerek biztonsági osztályától, a szervezet sajátosságaitól, az adott követelménycsoporttól függően az auditor a szervezet által rendelkezésére bocsátott dokumentumok alapján elemzi a bizonyítékokat a védelmi intézkedéseknek való megfelelés szempontjából.

1.2.1.2. A dokumentumvizsgálat különösen a következő dokumentumokra terjed ki:

1.2.1.2.1. magas szintű irányítási dokumentumok, ideértve az informatikai biztonsági stratégiát, informatikai biztonsági politikát, rendszerbiztonsági tervet, kockázatértékelési, kockázatkezelési politikát,

1.2.1.2.2. a szervezet belső szabályozó eszközei, eljárásokra vonatkozó előírások, utasítások, útmutatók, ideértve az informatikai biztonsági szabályzatot, hozzáférés-szabályozást, képzésekkel kapcsolatos szabályozásokat, felhasználói, illetve adminisztrátori útmutatókat, összeférhetetlenséggel, viselkedési elvárásokkal kapcsolatos szabályozást, a szabályzatok, utasítások felülvizsgálatára, frissítésére, jóváhagyására vonatkozó szabályozást, rendszerkonfiguráció módosítására és ellenőrzésére vonatkozó eljárásokat, azonosítási és hitelesítési eljárásokat, követelményeket, azonosítók kezelését, informatikai eszközöket, szoftverek beszerzésével, telepítésével kapcsolatos eljárásokat, engedélyezési folyamatot, fizikai és személyi biztonsággal kapcsolatok szabályozásokat,

1.2.1.2.3. rendszerleírásokkal és nyilvántartásokkal kapcsolatos dokumentációk, ideértve a rendszerterveket, rendszerleltárt, szoftverleltárt, rendszer-architektúra leírást, rendszer-konfigurációk leírását, szoftvernyilvántartást, kriptográfiai eljárások nyilvántartását, kriptográfiai mechanizmusok követelményeit, kriptográfiai kulcsok kezelésének elvárásait és dokumentációit, interfészek leírását, az ellátási lánc védelmére vonatkozó eljárásokat, az ellátási lánc biztonságával kapcsolatos dokumentációkat, titoktartási megállapodásokat, képzésekkel kapcsolatos nyilvántartásokat, fizikai biztonsági intézkedéseket, oktatással kapcsolatos dokumentációkat,

1.2.1.2.4. változáskezeléssel kapcsolatos dokumentációk, ideértve a tervezési, hatásvizsgálati, tesztelési, átvételi és engedélyezési eljárásokat, a rendszerfejlesztés életciklus folyamatában alkalmazandó minőségellenőrzési eljárásokat, megvalósított átvételi eljárások dokumentációit,

1.2.1.2.5. vészhelyzeti tervezéssel, incidenskezeléssel, ellenőrzéssel, mentéssel, naplózással kapcsolatos dokumentációk, ideértve az incidensekre való reagálási tevékenységek dokumentumait, ellenőrzési terveket, végrehajtott ellenőrzési dokumentációkat, korábbi sérülékenységvizsgálatok eredményeit, mentések szabályozását, mentett információk védelmét, naplózás szabályozását, naplók védelmét.

1.2.2. Interjú

1.2.2.1. Az interjúk során az elektronikus információs rendszerek biztonsági osztályától, a szervezet sajátosságaitól, az adott követelménycsoporttól függően az auditor a szervezet által rendelkezésre bocsátott dokumentumok alapján írásban feltett interjúkérdésekkel, továbbá személyes interjúk során a dokumentumvizsgálathoz képest további bizonyítékok begyűjtését, a felmerült kérdések tisztázását végzi a folyamatok, eljárások gyakorlati megvalósításának megismerése érdekében.

1.2.2.2. A személyes interjúknál az auditor – az elektronikus információs rendszerek biztonságáért felelős személy jelenlétében – helyszíni vagy – elektronikus hírközlő eszköz igénybevételével – távoli interjúkat folytat le a vizsgált követelménycsoporttal kapcsolatos releváns feladatokat ellátó vezetőkkel, munkatársakkal, ideértve a rendszertervezéssel, beszerzéssel, jóváhagyással, engedélyezéssel, működtetéssel, karbantartással, ellenőrzéssel, incidenskezeléssel kapcsolatosan felelősséggel rendelkező személyeket, illetve technikai kérdésekben a rendszergazdákat, hálózati rendszergazdákat.

1.2.3. Teszt

1.2.3.1. Az auditor a tesztelések során az elektronikus információs rendszerek biztonsági osztályától, a szervezet sajátosságaitól, illetve az adott követelménycsoporttól függően automatizált ellenőrző programokkal, vagy – a szervezet munkatársainak közreműködésével végrehajtott – céltesztekkel, a szervezeti tevékenységek és céltesztek naplózási nyomainak lekérdezésével a szervezetnek azokat az informatikai mechanizmusait és tevékenységeit ellenőrzi, amelyek megvalósítják az adott követelménycsoportra elvárt intézkedéseket.

1.2.3.2. A tesztelési folyamat során az auditor a tényleges és az elvárt működés összehasonlítása érdekében a tesztelendő követelménycsoport elemi követelményei teljesülését ellenőrzi.

2. Az auditálási eljárás

2.1. Biztonsági osztályba sorolás vizsgálata

2.1.1. Az auditor az 1. § (2) bekezdés a) pontja szerinti vizsgálat során ellenőrzi a 3. § (3) bekezdése szerint átadott, a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását tartalmazó nyilvántartásban foglalt valamennyi elektronikus információs rendszer biztonsági osztályba sorolásának megfelelőségét.

2.1.2. Az auditor ellenőrzi a besorolási döntéseket megalapozó bizonyítékokat az MKr. 1. melléklet 2.2.2–2.2.4.7. pontjában meghatározott feltételek fennállása szempontjából.

2.1.3. Az auditor ellenőrzi, hogy a biztonsági osztályba sorolásra vonatkozó döntések az MKr. 1. melléklet 2.1.2. pontjával összhangban a szervezet vezetője által jóváhagyásra kerültek-e.

2.1.4. Az auditor a biztonsági osztályba sorolás értékelésénél dokumentumvizsgálat és interjú általános vizsgálati módszereket alkalmaz.

2.1.5. Az egyes elektronikus információs rendszerek biztonsági osztályba sorolásának megalapozottságát vizsgáló ellenőrzés eredménye lehet

2.1.5.1. „megfelelő”, ha a biztonsági osztályba sorolást megalapozó bizonyítékok az elektronikus információs rendszer nyilvántartásban szereplő biztonsági osztályát alátámasztják,

2.1.5.2. „nem megfelelő”, ha a biztonsági osztályba sorolást megalapozó bizonyítékok az elektronikus információs rendszer nyilvántartásban szereplő biztonsági osztályát nem támasztják alá.

2.1.6. A biztonsági osztály „nem megfelelő” értékelése esetén az auditor az MKr. rendelkezéseinek megfelelő biztonsági osztályba sorolásra tesz javaslatot, de a 2.2. és 2.3. pont szerinti értékelést a szervezet által megállapított biztonsági osztályra figyelemmel végzi el.

2.1.7. A biztonsági osztályba sorolás vizsgálatának eredményét az auditjelentés tartalmazza.

2.2. Az elektronikus információs rendszer követelménycsoportok szerinti értékelése

2.2.1. A 6. mellékletben foglalt táblázat B oszlopában

2.2.1.1. „SZ” értékkel jelölt követelménycsoport szervezeti szinten, azaz valamennyi EIR-re egységesen vonatkoztatva vizsgálandó,

2.2.1.2. „EIR” értékkel jelölt követelménycsoport EIR-enként vizsgálandó.

2.2.2. Alkalmazhatósági értékelés

2.2.2.1. Az auditor az egyes követelménycsoportok alkalmazhatóságát a 2.2.1.1. és 2.2.1.2. pont szerint vizsgálja, és ennek során az auditálási tervben foglalt, az audittal érintett elektronikus információs rendszerekhez tartozó eltéréseket és helyettesítő intézkedéseket is értékeli.

2.2.2.2. Az auditor értékeli az eltérést alátámasztó dokumentumokat, indokolásokat a megállapított biztonsági osztálynak megfelelően, valamint az MKr. 1. melléklet 3.1–4.2.4. pontjában meghatározott feltételrendszernek való megfelelés alapján.

2.2.2.3. A követelménycsoport „nem alkalmazható” minősítést kap, ha a szervezet által átadott, 4. melléklet szerinti eltérések és helyettesítő intézkedések katalógusában a követelménycsoport eltérésként szerepel, az indokolás az auditor értékelése alapján megfelelően alátámasztott és az eltéréseket bemutató dokumentumok a szervezet vezetője vagy a kockázatok felvállalására jogosult szerepkört betöltő személy részéről jóváhagyásra kerültek.

2.2.2.4. Az auditor – a 2.2.2.3. pontban foglaltakon túl – indokolás mellett a vizsgált szervezeti vagy EIR-szintű követelménycsoportot a vizsgálatból kizárhatja, kivéve, ha a követelménycsoport a 6. mellékletben foglalt táblázat G oszlopában „Értékelésből nem kizárható”-ként került megjelölésre. A követelménycsoport ebben az esetben „nem alkalmazható” minősítést kap.

2.2.2.5. Ha a 2.2.2.3. vagy a 2.2.2.4. pont szerinti eset nem áll fenn, a követelménycsoport értékelése „alkalmazható”.

2.2.2.6. A „nem alkalmazható” követelménycsoport nem képezi az audit tárgyát.

2.2.3. Követelménycsoportok vizsgálata

2.2.3.1. A szervezeti szintű követelménycsoportok az audit eljárás során a szervezet valamennyi vizsgálatba bevont EIR-jére egységesen vonatkoztatva legalább egyszer vizsgálandóak.

2.2.3.2. Szervezeti szintű követelménycsoport esetén az auditor a szervezet EIR-jei közül a legmagasabb biztonsági osztályát veszi figyelembe.

2.2.3.3. A 2.2.2. pont szerinti értékelés során „alkalmazható” minősítést kapott követelménycsoportokat az auditor a 6. melléklet szerinti vizsgálati módszerekkel vizsgálja.

2.2.3.4. A 7. mellékletben foglalt táblázat követelménycsoportonként tartalmazza az elemi követelményeket, amelyek értékelésének eredménye, azaz az auditori döntés (AD) a következő lehet:

2.2.3.4.1. „nem alkalmazható” („NA”), ha a követelménycsoport a 2.2.2.3. vagy a 2.2.2.4. pont alapján nem került kizárásra, azonban a biztonsági cél, illetve az elemi követelmény nem értelmezhető;

2.2.3.4.2. „nem megfelelt” („NM”), ha az elemi követelmény teljesülésére nincs bizonyíték vagy a szervezet nem vállalja az intézkedés megvalósítását;

2.2.3.4.3. „megfelelt” (M), ha az auditor rendelkezésére állnak a kötelező vizsgálati módszerek alapján az elemi követelmény teljesülésére vonatkozó bizonyítékok.

2.2.4. Követelménycsoport értékelése

2.2.4.1. A követelménycsoport értékelése az elemi követelmények értékelése alapján történik a következők szerint:

2.2.4.1.1. „megfelelt”, ha a 7. melléklet szerinti elemi követelmények mindegyike „megfelelt” vagy „nem alkalmazható” értékelést kapott,

2.2.4.1.2. ha a vizsgált követelménycsoportra van egy vagy több olyan elemi követelmény, amelyre vonatkozóan az auditor „nem megfelelt” döntést hozott, akkor az auditor az eltérést minősíti. A minősítés során az auditor különösen a következő szempontokat veszi figyelembe:

2.2.4.1.2.1. a „nem megfelelt” döntések száma,

2.2.4.1.2.2. az auditornak a komplex rendszerre, más intézkedésekre vonatkozó ismeretei, figyelembe véve a nem megfelelőségek támadó oldali kihasználási lehetőségeit, amelyeket befolyásol,

2.2.4.1.2.2.1. az esetleges támadásokhoz a támadó részéről szükséges rendszerismeret szintje,

2.2.4.1.2.2.2. a rendszerhez való hozzáférés-igény szintje,

2.2.4.1.2.2.3. a támadáshoz szükséges kvalifikált ismeretek szintje,

2.2.4.1.2.2.4. a speciális eszközpark használati igénye,

2.2.4.1.2.2.5. támadási időszükséglet korlátai.

2.2.4.1.3. A 2.2.4.1.2–2.2.4.1.2.2.5. pont szerinti szempontok alapján az eltérés minősítése:

2.2.4.1.3.1. „elhanyagolható mértékű eltérés”: ha a vonatkozó biztonsági elvárások nem teljesülnek hiánytalanul, de ez az EIR biztonságát az auditor megítélése szerint nem érinti;

2.2.4.1.3.2. „kis mértékű eltérés”: ha a vonatkozó biztonsági elvárások kisebb hiányosságokkal, de alapvetően céljuknak megfelelően működnek;

2.2.4.1.3.3. „kiemelt mértékű eltérés”: ha az elvárt intézkedés fő céljai nem teljesülnek;

2.2.4.1.3.4. „kritikus mértékű eltérés”: ha az intézkedés nem megfelelése olyan súlyú, hogy a következő kockázatok bekövetkezési valószínűségét növeli:

2.2.4.1.3.4.1. személyes adatok bizalmasságának sérülése;

2.2.4.1.3.4.2. személyi sérülés bekövetkezése;

2.2.4.1.3.4.3. nemzeti adatvagyon sérülése;

2.2.4.1.3.4.4. létfontosságú rendszer rendelkezésre állása nem biztosított;

2.2.4.1.3.4.5. a szervezet üzlet- vagy ügymenete szempontjából nagy értékű, üzleti titkot vagy különösen érzékeny folyamatokat kezelő rendszer, vagy információt képező adat sérülése;

2.2.4.1.3.4.6. súlyos bizalomvesztés a szervezettel szemben, vagy kiemelt jogok sérülése;

2.2.4.1.3.4.7. jelentős közvetett vagy közvetlen anyagi kár.

2.2.5. Az EIR értékelése

2.2.5.1. Az EIR értékelésére összehasonlíthatóságot biztosító, kvantitatív számítási módszer alkalmazandó a követelménycsoportok értékelése alapján.

2.2.5.2. Az egyes követelménycsoportok értékelése alapján a következő számszerű értékek alkalmazandóak:

2.2.5.2.1. „megfelelt” esetén 0,

2.2.5.2.2. „elhanyagolható mértékű eltérés” esetén 1,

2.2.5.2.3. „kis mértékű eltérés” esetén 4,

2.2.5.2.4. „kiemelt mértékű eltérés” esetén 10,

2.2.5.2.5. „kritikus mértékű eltérés” esetén 1000.

2.2.5.3. A vizsgált EIR értékelésénél az auditor figyelembe veszi az adott követelménycsoportnak a 6. mellékletben foglalt táblázat F oszlopa szerinti típusát.

2.2.5.4. Az EIR értékelésének meghatározására a védelmi megfelelési index (a továbbiakban: VMI) szolgál, amelynek értékét az auditor a következő képlettel határozza meg:

2.2.5.5. A 2.2.5.4. pont szerinti képletben alkalmazott jelölések:

2.2.5.5.1. b_i: a 6. melléklet szerint „Biztosító” típusú követelménycsoport 2.2.5.2. pont szerinti számszerű értéke;

2.2.5.5.2. t_j: a 6. melléklet szerint „Támogató” típusú követelménycsoport 2.2.5.2. pont szerinti számszerű értéke;

2.2.5.5.3. : a 6. melléklet szerinti „Biztosító” típusú követelménycsoportok számossága; equation

2.2.5.5.4. : a 6. melléklet szerinti „Támogató” típusú követelménycsoportok számossága. equation

2.2.5.6. A VMI alapján az EIR-t az elvárásoktól való eltérés alapján az auditor szövegesen értékeli a következők szerint:

	A	B
1.	Eltérés mértéke	Az EIR-nek a védelmi intézkedések katalógusa elvárásainak való megfelelés szempontjából történő értékelése
2.	VMI ≥ 95	megfelel
3.	90 ≤ VMI < 95	alacsony kockázattal megfelel
4.	80 ≤ VMI < 90	jelentős kockázattal megfelel
5.	70 ≤ VMI < 80	magas kockázattal megfelel
6.	VMI < 70	nem felel meg

2.2.5.7. Az auditor a VMI 2.2.5.4. pont szerinti kiszámításakor minden EIR esetén beszámolja a szervezeti szintű követelménycsoportokat is.

2.3. A szervezet értékelése

2.3.1. Az auditor a szervezet ellenálló-képességi indexét (a továbbiakban: SZEKI) a következő képlettel határozza meg:

2.3.2. Az auditor a SZEKI szövegszerű értékelését a következő táblázatban foglaltak szerint végzi el:

	A	B	C
1.	Szervezet értékelése	A szervezetnek a védelmi intézkedések katalógusa elvárásainak való megfelelés szempontjából történő minősítése	Értékelés eredménye
2.	SZEKI ≥ 95	elhanyagolható kockázattal megfelel	megfelelt
3.	90 ≤ SZEKI < 95	alacsony kockázattal megfelel	auditált
4.	80 ≤ SZEKI < 90	közepes kockázattal megfelel
5.	70 ≤ SZEKI < 80	magas kockázattal megfelel
6.	SZEKI < 70	kritikus kockázattal nem felel meg	nem megfelelt

6. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

Az MKr. szerinti követelménycsoportok esetében a kiberbiztonsági audit során alkalmazandó vizsgálati módszerek, valamint a követelménycsoportok audit eljárás szempontjából lényeges jellemzői

	A	B	C	D	E	F	G
1.	MKr. 2. melléklete szerinti követelménycsoport	Jellege	Kötelezően alkalmazandó dokumentumvizsgálat	Kötelezően alkalmazandó interjú	Kötelezően alkalmazandó teszt	Típusa	Értékelésből nem kizárható
2.	1.1. Információbiztonsági szabályzat	SZ	X	X	-	Biztosító	X
3.	1.2. Elektronikus információs rendszerek biztonságáért felelős személy	SZ	X	X	-	Biztosító	X
4.	1.3. Információbiztonságot érintő erőforrások	SZ	X	X	-	Biztosító	-
5.	1.4. Intézkedési terv és mérföldkövei	SZ	X	X	-	Támogató	X
6.	1.5. Elektronikus információs rendszerek nyilvántartása	SZ	X	X	-	Biztosító	X
7.	1.6. Biztonsági teljesítmény mérése	SZ	X	X	-	Támogató	-
8.	1.7. Szervezeti architektúra	SZ	X	X	-	Támogató	-
9.	1.9. A szervezet működése szempontjából kritikus infrastruktúra biztonsági terve	SZ	X	X	-	Biztosító	-
10.	1.10. Kockázatmenedzsment stratégia	SZ	X	X	-	Támogató	-
11.	1.11. Engedélyezési folyamatok meghatározása	SZ	X	X	-	Biztosító	-
12.	1.12. Szervezeti működés és üzleti folyamatok meghatározása	SZ	X	X	-	Támogató	-
13.	1.14. Biztonsági személyzet képzése	SZ	X	X	-	Támogató	-
14.	1.15. Tesztelés, képzés és felügyelet	SZ	X	X	-	Támogató	-
15.	1.16. Szakmai csoportokkal és közösségekkel való kapcsolattartás	SZ	X	X	-	Támogató	-
16.	1.17. Fenyegetettség tudatosító program	SZ	X	X	-	Támogató	-
17.	1.19. Kockázatmenedzsment keretrendszer	SZ	X	X	-	Támogató	-
18.	1.20. Kockázatkezelésért felelős szerepkörök	SZ	X	X	-	Támogató	-
19.	1.21. Ellátási lánc kockázatmenedzsment stratégiája	SZ	X	X	-	Támogató	X
20.	1.22. Ellátási lánc kockázatmenedzsment stratégia – Üzletmenet (ügymenet) szempontjából kritikus termékek beszállítói	SZ	X	X	-	Támogató	-
21.	1.23. Folyamatos felügyeleti stratégia	SZ	X	X	-	Támogató	-
22.	2.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
23.	2.2. Fiókkezelés	EIR	X	-	X	Biztosító	X
24.	2.3. Fiókkezelés – Automatizált fiókkezelés	EIR	X	-	-	Támogató	-
25.	2.4. Fiókkezelés – Automatizált ideiglenes és vészhelyzeti fiók kezelés	EIR	X	-	-	Biztosító	-
26.	2.5. Fiókkezelés – Fiókok letiltása	EIR	X	-	X	Támogató	-
27.	2.6. Fiókkezelés – Automatikus naplózási műveletek	EIR	X	-	X	Biztosító	X
28.	2.7. Fiókkezelés – Inaktivitásból fakadó kijelentkeztetés	EIR	X	-	-	Biztosító	-
29.	2.12. Fiókkezelés – Használati feltételek	EIR	X	-	-	Támogató	-
30.	2.13. Fiókkezelés – Fiókok szokatlan használatának felügyelete	EIR	X	X	-	Biztosító	-
31.	2.14. Fiókkezelés – Magas kockázatú személyek fiókjának letiltása	EIR	X	X	-	Támogató	-
32.	2.15. Hozzáférési szabályok érvényesítése	EIR	X	-	X	Biztosító	X
33.	2.28. Információáramlási szabályok érvényesítése	EIR	X	-	-	Támogató	-
34.	2.32. Információáramlási szabályok érvényesítése – Titkosított információk áramlásának irányítása	EIR	X	X	-	Biztosító	-
35.	2.59. Felelősségek szétválasztása	EIR	X	X	-	Biztosító	-
36.	2.60. Legkisebb jogosultság elve	EIR	X	-	-	Biztosító	X
37.	2.61. Legkisebb jogosultság elve – Hozzáférés biztosítása a biztonsági funkciókhoz	EIR	X	-	X	Biztosító	-
38.	2.62. Legkisebb jogosultság elve – Nem privilegizált hozzáférés biztosítása a nem biztonsági funkciókhoz	EIR	X	-	-	Támogató	-
39.	2.63. Legkisebb jogosultság elve – Hálózati hozzáférés a privilegizált parancsokhoz	EIR	X	-	-	Támogató	-
40.	2.65. Legkisebb jogosultság elve – Privilegizált fiókok	EIR	X	X	-	Támogató	-
41.	2.67. Legkisebb jogosultság elve – Felhasználói jogosultságok felülvizsgálata	EIR	X	X	-	Támogató	-
42.	2.69. Legkisebb jogosultság elve – Privilegizált funkciók használatának naplózása	EIR	X	-	X	Támogató	-
43.	2.70. Legkisebb jogosultság elve – Nem-privilegizált felhasználók korlátozása	EIR	X	-	-	Támogató	-
44.	2.71. Sikertelen bejelentkezési kísérletek	EIR	X	-	X	Biztosító	X
45.	2.75. A rendszerhasználat jelzése	EIR	X	-	X	Támogató	-
46.	2.81. Egyidejű munkaszakasz kezelés	EIR	X	-	-	Támogató	-
47.	2.82. Eszköz zárolása	EIR	X	-	X	Támogató	-
48.	2.83. Eszköz zárolása – Képernyőtakarás	EIR	X	-	X	Támogató	-
49.	2.84. A munkaszakasz lezárása	EIR	X	-	X	Támogató	-
50.	2.88. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek	EIR	X	-	X	Támogató	-
51.	2.100. Távoli hozzáférés	EIR	X	X	X	Biztosító	-
52.	2.101. Távoli hozzáférés – Felügyelet és irányítás	EIR	X	-	-	Biztosító	-
53.	2.102. Távoli hozzáférés – Bizalmasság és sértetlenség védelme titkosítás által	EIR	X	-	X	Biztosító	-
54.	2.103. Távoli hozzáférés – Menedzselt hozzáférés-felügyeleti pontok	EIR	X	X	-	Támogató	-
55.	2.104. Távoli hozzáférés – Privilegizált parancsok és hozzáférés	EIR	X	-	-	Támogató	-
56.	2.108. Vezeték nélküli hozzáférés	EIR	X	X	-	Biztosító	-
57.	2.109. Vezeték nélküli hozzáférés – Hitelesítés és titkosítás	EIR	X	-	-	Biztosító	-
58.	2.110. Vezeték nélküli hozzáférés – Vezeték nélküli hálózat letiltása	EIR	X	-	X	Támogató	-
59.	2.111. Vezeték nélküli hozzáférés – Felhasználók általi konfiguráció korlátozása	EIR	X	-	-	Támogató	-
60.	2.112. Vezeték nélküli hozzáférés – Antennák és átviteli teljesítmény	EIR	X	-	-	Támogató	-
61.	2.113. Mobil eszközök hozzáférés-ellenőrzése	EIR	X	X	-	Biztosító	-
62.	2.114. Mobil eszközök hozzáférés-ellenőrzése – Teljes eszköz vagy konténer-alapú titkosítás	EIR	X	-	X	Biztosító	-
63.	2.115. Külső elektronikus információs rendszerek használata	EIR	X	-	-	Támogató	-
64.	2.116. Külső rendszerek használata – Engedélyezett használat korlátozásai	EIR	X	-	-	Támogató	-
65.	2.117. Külső rendszerek használata – Hordozható adattárolók használatának korlátozása	EIR	X	-	-	Támogató	-
66.	2.121. Információmegosztás	EIR	X	X	-	Támogató	-
67.	2.124. Nyilvánosan elérhető tartalom	EIR	X	X	-	Támogató	-
68.	3.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
69.	3.2. Biztonságtudatossági képzés	SZ	X	X	-	Biztosító	X
70.	3.4. Biztonságtudatossági képzés – Belső fenyegetés	SZ	X	-	-	Támogató	-
71.	3.5. Biztonságtudatossági képzés – Pszichológiai befolyásolás és információszerzés	SZ	X	-	-	Támogató	-
72.	3.9. Szerepkör alapú biztonsági képzés	SZ	X	-	-	Támogató	-
73.	3.13. A biztonsági képzésre vonatkozó dokumentációk	SZ	X	-	X	Támogató	-
74.	4.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
75.	4.2. Naplózható események	EIR	X	X	-	Biztosító	X
76.	4.3. Naplóbejegyzések tartalma	EIR	X	-	X	Biztosító	-
77.	4.4. Naplóbejegyzések tartalma – Kiegészítő naplóinformációk	EIR	X	-	-	Támogató	-
78.	4.5. Naplózás tárkapacitása	EIR	X	-	X	Támogató	-
79.	4.7. Naplózási hiba kezelése	EIR	X	X	-	Biztosító	-
80.	4.8. Naplózási hiba kezelése – Tárhelykapacitás figyelmeztetés	EIR	X	-	-	Támogató	-
81.	4.9. Naplózási hiba kezelése – Valós idejű riasztások	EIR	X	-	-	Biztosító	-
82.	4.13. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel	EIR	X	X	X	Biztosító	-
83.	4.14. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Automatizált folyamatintegráció	EIR	X	-	-	Biztosító	-
84.	4.15. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Naplózási tárhelyek összekapcsolása	EIR	X	-	-	Támogató	-
85.	4.17. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Felügyeleti képességek integrálása	EIR	X	X	-	Támogató	-
86.	4.18. Naplóbejegyzések felülvizsgálata, elemzése és jelentéstétel – Összevetés a fizikai felügyelettel	EIR	X	-	-	Támogató	-
87.	4.22. Naplóbejegyzések csökkentése és jelentéskészítés	EIR	X	-	-	Biztosító	-
88.	4.23. Naplóbejegyzések csökkentése és jelentéskészítés – Automatikus feldolgozás	EIR	X	-	-	Támogató	-
89.	4.24. Időbélyegek	EIR	X	-	X	Támogató	-
90.	4.25. Naplóinformációk védelme	EIR	X	X	-	Biztosító	-
91.	4.27. A naplóinformációk védelme – Tárolás fizikailag különálló rendszereken vagy rendszerelemeken	EIR	X	-	-	Támogató	-
92.	4.28. A naplóinformációk védelme – Kriptográfiai védelem	EIR	X	-	-	Támogató	-
93.	4.29. A naplóinformációk védelme – Privilegizált felhasználók hozzáférése	EIR	X	-	-	Biztosító	-
94.	4.33. Letagadhatatlanság	EIR	X	-	X	Biztosító	-
95.	4.38. A naplóbejegyzések megőrzése	EIR	X	-	-	Támogató	-
96.	4.40. Naplóbejegyzések létrehozása	EIR	X	-	X	Biztosító	X
97.	4.41. Naplóbejegyzések létrehozása – Az egész rendszerre kiterjedő és időbeli naplózási nyomvonal.	EIR	X	X	-	Támogató	-
98.	4.43. Naplóbejegyzések létrehozása – Felhatalmazott személyek változtatásai	EIR	X	-	-	Támogató	-
99.	5.1. Szabályzat és eljárásrendek	EIR	X	X	-	Támogató	-
100.	5.2. Biztonsági értékelések	EIR	X	-	X	Biztosító	X
101.	5.3. Biztonsági értékelések – Független értékelők	EIR	X	-	-	Biztosító	-
102.	5.4. Biztonsági értékelések – Kiberbiztonsági audit	EIR	X	-	-	Biztosító	X
103.	5.5. Biztonsági értékelések – Speciális értékelések	EIR	X	-	-	Támogató	-
104.	5.7. Információcsere	EIR	X	X	-	Támogató	-
105.	5.8. Információcsere – Átviteli engedélyek	EIR	X	-	-	Támogató	-
106.	5.10. Az intézkedési terv és mérföldkövei	EIR	X	-	-	Támogató	-
107.	5.12. Engedélyezés	EIR	X	X	X	Támogató	-
108.	5.15. Folyamatos felügyelet	EIR	X	X	-	Támogató	-
109.	5.16. Folyamatos felügyelet – Független értékelés	EIR	X	-	-	Támogató	-
110.	5.18. Folyamatos felügyelet – Kockázatmonitorozás	EIR	X	-	-	Támogató	-
111.	5.22. Behatolásvizsgálat – Független szakértő vagy csapat	EIR	X	-	-	Támogató	-
112.	5.25. Belső rendszerkapcsolatok	EIR	X	X	X	Támogató	-
113.	6.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
114.	6.2. Alapkonfiguráció	EIR	X	X	X	Biztosító	X
115.	6.3. Alapkonfiguráció – Automatikus támogatás a pontosság és a naprakészség érdekében	EIR	X	-	-	Támogató	-
116.	6.4. Alapkonfiguráció – Korábbi konfigurációk megőrzése	EIR	X	-	-	Támogató	-
117.	6.6. Alapkonfiguráció – Rendszerek és rendszerelemek konfigurálása magas kockázatú területekre	EIR	X	X	-	Biztosító	-
118.	6.7. A konfigurációváltozások felügyelete (változáskezelés)	EIR	X	-	X	Támogató	-
119.	6.8. A konfigurációváltozások felügyelete – Automatizált dokumentáció, értesítés és változtatási tilalom	EIR	X	-	-	Támogató	-
120.	6.9. A konfigurációváltozások felügyelete – Változások tesztelése, jóváhagyása és dokumentálása	EIR	X	-	X	Támogató	-
121.	6.12. A konfigurációváltozások felügyelete – Kriptográfia kezelése	EIR	X	X	-	Támogató	-
122.	6.15. Biztonsági hatásvizsgálatok	EIR	X	-	-	Támogató	-
123.	6.16. Biztonsági hatásvizsgálatok – Különálló tesztkörnyezetek	EIR	X	-	-	Támogató	-
124.	6.17. Biztonsági hatásvizsgálatok – Követelmények ellenőrzése	EIR	X	-	-	Támogató	-
125.	6.18. A változtatásokra vonatkozó hozzáférés korlátozások	EIR	X	-	-	Támogató	-
126.	6.19. A változtatásokra vonatkozó hozzáférés korlátozások – Automatizált hozzáférés- érvényesítés és naplóbejegyzések	EIR	X	-	-	Támogató	-
127.	6.23. Konfigurációs beállítások	EIR	X	-	X	Biztosító	X
128.	6.24. Konfigurációs beállítások – Automatizált kezelés, alkalmazás és ellenőrzés	EIR	X	-	-	Támogató	-
129.	6.25. Konfigurációs beállítások – Reagálás a jogosulatlan változtatásokra	EIR	X	X	-	Támogató	-
130.	6.26. Legszűkebb funkcionalitás	EIR	X	-	X	Biztosító	X
131.	6.27. Legszűkebb funkcionalitás – Rendszeres felülvizsgálat	EIR	X	-	-	Biztosító	-
132.	6.28. Legszűkebb funkcionalitás – Program futtatásának megakadályozása	EIR	X	-	X	Támogató	-
133.	6.31. Legszűkebb funkcionalitás – Engedélyezett Szoftverek – Kivételes Engedélyezés	EIR	X	X	-	Biztosító	-
134.	6.36. Rendszerelem leltár	EIR	X	X	-	Biztosító	X
135.	6.37. Rendszerelem leltár – Frissítések a telepítés és eltávolítás során	EIR	X	-	-	Biztosító	-
136.	6.38. Rendszerelem leltár – Automatizált karbantartás	EIR	X	-	-	Támogató	-
137.	6.39. Rendszerelem leltár – Jogosulatlan elemek automatikus észlelése	EIR	X	X	-	Támogató	-
138.	6.40. Rendszerelem leltár – Elszámoltathatósággal kapcsolatos információk	EIR	X	-	-	Támogató	-
139.	6.45. Konfigurációkezelési terv	EIR	X	-	-	Támogató	-
140.	6.47. A szoftverhasználat korlátozásai	EIR	X	-	-	Támogató	-
141.	6.49. Felhasználó által telepített szoftver	EIR	X	-	X	Támogató	-
142.	6.52. Információ helyének azonosítása és dokumentálása	EIR	X	X	-	Biztosító	-
143.	7.1. Szabályzat és eljárásrendek	EIR	X	X	-	Támogató	-
144.	7.2. Üzletmenet-folytonossági terv	EIR	X	X	-	Biztosító	X
145.	7.3. Üzletmenet-folytonossági terv – Összehangolás a kapcsolódó tervekkel	EIR	X	-	-	Támogató	-
146.	7.4. Üzletmenet-folytonossági terv – Kapacitás tervezése	EIR	X	-	-	Támogató	-
147.	7.5. Üzletmenet-folytonossági terv – Üzleti (ügymeneti) funkciók visszaállítása	EIR	X	-	-	Biztosító	-
148.	7.6. Üzletmenet-folytonossági terv – Alapfeladatok és alapfunkciók folyamatossága	EIR	X	-	-	Támogató	-
149.	7.9. Üzletmenet-folytonossági terv – Kritikus erőforrások meghatározása	EIR	X	-	-	Biztosító	-
150.	7.10. A folyamatos működésre felkészítő képzés	EIR	X	-	-	Támogató	-
151.	7.11. A folyamatos működésre felkészítő képzés – Szimulált események	EIR	X	-	-	Támogató	-
152.	7.13. Üzletmenet-folytonossági terv tesztelése	EIR	X	-	X	Biztosító	X
153.	7.14. Üzletmenet-folytonossági terv tesztelése – Összehangolás a kapcsolódó tervekkel	EIR	X	-	-	Támogató	-
154.	7.15. Üzletmenet-folytonossági terv tesztelése – Alternatív feldolgozási helyszín	EIR	X	-	-	Támogató	-
155.	7.19. Biztonsági tárolási helyszín	EIR	X	X	-	Biztosító	-
156.	7.20. Biztonsági tárolási helyszín – Elkülönítés az elsődleges tárolási helyszíntől	EIR	X	-	-	Biztosító	-
157.	7.21. Biztonsági tárolási helyszín – Helyreállítási idő és helyreállítási pont céljai	EIR	X	-	-	Biztosító	-
158.	7.22. Biztonsági tárolási helyszín – Hozzáférhetőség	EIR	X	-	-	Támogató	-
159.	7.23. Alternatív feldolgozási helyszín	EIR	X	X	-	Támogató	-
160.	7.24. Alternatív feldolgozási helyszín – Elkülönítés az elsődleges helyszíntől	EIR	X	-	-	Támogató	-
161.	7.25. Alternatív feldolgozási helyszín – Hozzáférhetőség	EIR	X	-	-	Támogató	-
162.	7.26. Alternatív feldolgozási helyszín – Szolgáltatás prioritása	EIR	X	-	-	Támogató	-
163.	7.27. Alternatív feldolgozási helyszín – Használatra való felkészítés	EIR	X	-	-	Támogató	-
164.	7.29. Telekommunikációs szolgáltatások	EIR	X	-	-	Támogató	-
165.	7.30. Telekommunikációs szolgáltatások – Szolgáltatásprioritási rendelkezések	EIR	X	-	-	Támogató	-
166.	7.31. Telekommunikációs szolgáltatások – Kritikus meghibásodási pont	EIR	X	-	-	Támogató	-
167.	7.32. Telekommunikációs szolgáltatások – Elsődleges és másodlagos szolgáltatók különválasztása	EIR	X	-	-	Támogató	-
168.	7.33. Telekommunikációs szolgáltatások – Szolgáltatói üzletmenet-folytonossági terv	EIR	X	-	-	Támogató	-
169.	7.35. Az elektronikus információs rendszer mentései	EIR	X	-	X	Biztosító	X
170.	7.36. Az elektronikus információs rendszer mentései – Megbízhatóság és sértetlenség tesztelése	EIR	X	-	X	Biztosító	-
171.	7.37. Az elektronikus információs rendszer mentései – Visszaállítás tesztelése mintavétellel	EIR	X	-	X	Biztosító	-
172.	7.38. Az elektronikus információs rendszer mentései – Kritikus információk elkülönített tárhelye	EIR	X	-	X	Támogató	-
173.	7.39. Az elektronikus információs rendszer mentései – Átvitel másodlagos tárolási helyszínre	EIR	X	-	-	Támogató	-
174.	7.42. Az elektronikus információs rendszer mentései – Kriptográfiai védelem	EIR	X	-	X	Biztosító	-
175.	7.43. Az elektronikus információs rendszer helyreállítása és újraindítása	EIR	X	-	X	Biztosító	X
176.	7.44. Az elektronikus információs rendszer helyreállítása és újraindítása – Tranzakciók helyreállítása	EIR	X	-	-	Támogató	-
177.	7.45. Az elektronikus információs rendszer helyreállítása és újraindítása – Meghatározott időn belüli visszaállítás	EIR	X	-	-	Támogató	-
178.	8.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
179.	8.2. Azonosítás és hitelesítés	EIR	X	X	X	Biztosító	X
180.	8.3. Azonosítás és hitelesítés (felhasználók) – Privilegizált fiókok többtényezős hitelesítése	EIR	X	-	X	Támogató	-
181.	8.4. Azonosítás és hitelesítés (felhasználók) – Nem-privilegizált fiókok többtényezős hitelesítése	EIR	X	-	X	Támogató	-
182.	8.5. Azonosítás és hitelesítés (felhasználók) – Egyéni azonosítás csoportos hitelesítéssel	EIR	X	-	-	Támogató	-
183.	8.7. Azonosítás és hitelesítés (felhasználók) – Hozzáférés a fiókokhoz – Visszajátszás elleni védelem	EIR	X	-	-	Biztosító	-
184.	8.10. Eszközök azonosítása és hitelesítése	EIR	X	-	X	Biztosító	X
185.	8.14. Azonosító kezelés	EIR	X	X	-	Biztosító	X
186.	8.16. Azonosító kezelés – Felhasználói státusz azonosítása	EIR	X	-	-	Támogató	-
187.	8.21. A hitelesítésre szolgáló eszközök kezelése	EIR	X	X	X	Biztosító	X
188.	8.22. A hitelesítésre szolgáló eszközök kezelése – Jelszó alapú hitelesítés	EIR	X	-	X	Támogató	-
189.	8.23. A hitelesítésre szolgáló eszközök kezelése – Nyilvános kulcs alapú hitelesítés	EIR	X	-	X	Támogató	-
190.	8.25. A hitelesítésre szolgáló eszközök kezelése – A hitelesítő eszközök védelme	EIR	X	-	-	Támogató	-
191.	8.36. Hitelesítési információk visszajelzésének elrejtése	EIR	X	-	X	Támogató	-
192.	8.37. Hitelesítés kriptográfiai modul esetén	EIR	X	X	-	Támogató	-
193.	8.38. Azonosítás és hitelesítés (szervezeten kívüli felhasználók)	EIR	X	X	-	Biztosító	-
194.	8.39. Azonosítás és hitelesítés (szervezeten kívüli felhasználók) – Meghatározott azonosítási profilok használata	EIR	X	-	-	Támogató	-
195.	8.43. Újrahitelesítés	EIR	X	-	X	Biztosító	X
196.	8.44. Személyazonosság igazolása	EIR	X	X	-	Biztosító	X
197.	8.46. Személyazonosság igazolása – Személyazonosság bizonyítéka	EIR	X	-	-	Biztosító	-
198.	8.47. Személyazonosság igazolása – Személyazonossági bizonyítékok hitelesítése és ellenőrzése	EIR	X	-	-	Biztosító	-
199.	8.48. Személyazonosság igazolása – Személyes jelenlét melletti hitelesítés és ellenőrzés	EIR	X	-	-	Biztosító	-
200.	8.49. Személyazonosság igazolása – Cím megerősítése	EIR	X	-	-	Támogató	-
201.	9.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
202.	9.2. Képzés a biztonsági események kezelésére	SZ	X	-	X	Támogató	X
203.	9.3. Képzés a biztonsági események kezelésére – Szimulált események	SZ	X	X	-	Támogató	-
204.	9.4. Képzés a biztonsági események kezelésére – Automatizált képzési környezet	SZ	X	-	-	Támogató	-
205.	9.5. Biztonsági események kezelésének tesztelése	SZ	X	-	-	Támogató	-
206.	9.7. Biztonsági események kezelésének tesztelése – Összehangolás a kapcsolódó tervekkel	SZ	X	-	-	Támogató	-
207.	9.9. Biztonsági események kezelése	SZ	X	X	X	Biztosító	X
208.	9.10. Biztonsági események kezelése – Automatizált eseménykezelő folyamatok	SZ	X	-	-	Támogató	-
209.	9.13. Biztonsági események kezelése – Információk korrelációja	SZ	X	-	-	Támogató	-
210.	9.20. Biztonsági események kezelése – Integrált eseménykezelő csoport	SZ	X	-	-	Támogató	-
211.	9.25. A biztonsági események nyomonkövetése	SZ	X	-	X	Biztosító	-
212.	9.26. A biztonsági események nyomonkövetése – Automatizált nyomon követés, adatgyűjtés és elemzés	SZ	X	-	-	Támogató	-
213.	9.27. A biztonsági események jelentése	SZ	X	-	X	Biztosító	-
214.	9.28. A biztonsági események jelentése – Automatizált jelentés	SZ	X	-	-	Támogató	-
215.	9.30. A biztonsági események jelentése – Ellátási lánc koordinációja	SZ	X	-	-	Támogató	-
216.	9.31. Segítségnyújtás a biztonsági események kezeléséhez	SZ	X	-	-	Támogató	-
217.	9.32. Segítségnyújtás biztonsági események kezeléséhez – Automatizált támogatás az információk és a támogatás elérhetőségéhez	SZ	X	-	-	Támogató	-
218.	9.34. Biztonsági eseménykezelési terv	SZ	X	-	-	Biztosító	-
219.	10.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
220.	10.2. Szabályozott karbantartás	SZ	X	-	X	Biztosító	X
221.	10.3. Rendszeres karbantartás – Automatizált karbantartási tevékenységek	SZ	X	-	-	Támogató	-
222.	10.4. Karbantartási eszközök	SZ	X	-	-	Támogató	-
223.	10.5. Karbantartási eszközök – Eszközök vizsgálata	SZ	X	-	-	Támogató	-
224.	10.6. Karbantartási eszközök – Adathordozók vizsgálata	SZ	X	-	-	Támogató	-
225.	10.7. Karbantartási eszközök – Jogosulatlan elszállítás megakadályozása	SZ	X	-	-	Támogató	-
226.	10.11. Távoli karbantartás	SZ	X	-	X	Támogató	-
227.	10.13. Távoli karbantartás – Azonos szintű biztonság és adattörlés	SZ	X	-	-	Támogató	-
228.	10.18. Karbantartó személyek	SZ	X	-	-	Támogató	-
229.	10.19. Karbantartó személyek – Nem megfelelő ellenőrzöttségű személyek	SZ	X	-	-	Támogató	-
230.	10.21. Kellő időben történő karbantartás	SZ	X	-	-	Támogató	-
231.	11.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
232.	11.2. Hozzáférés az adathordozókhoz	SZ	X	-	X	Biztosító	X
233.	11.3. Adathordozók címkézése	SZ	X	-	-	Támogató	-
234.	11.4. Adathordozók tárolása	SZ	X	-	-	Biztosító	-
235.	11.6. Adathordozók szállítása	SZ	X	-	-	Biztosító	-
236.	11.8. Adathordozók törlése	SZ	X	-	X	Biztosító	-
237.	11.9. Adathordozók törlése – Felülvizsgálat, jóváhagyás, nyomon követés, dokumentálás és ellenőrzés	SZ	X	-	X	Biztosító	-
238.	11.10. Adathordozók törlése – Berendezés tesztelése	SZ	X	-	-	Támogató	-
239.	11.11. Adathordozók törlése – Roncsolásmentes technikák	SZ	X	-	-	Támogató	-
240.	11.14. Adathordozók használata	SZ	X	X	X	Támogató	-
241.	12.1. Szabályzat és eljárásrendek	SZ	X	X	-	Biztosító	X
242.	12.2. A fizikai belépési engedélyek	SZ	X	X	-	Biztosító	-
243.	12.6. A fizikai belépés ellenőrzése	SZ	X	-	X	Biztosító	X
244.	12.7. A fizikai belépés ellenőrzése – Rendszer hozzáférés	SZ	X	-	X	Támogató	-
245.	12.14. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz	SZ	X	-	X	Támogató	-
246.	12.15. A kimeneti eszközök hozzáférés-ellenőrzése	SZ	X	-	X	Támogató	-
247.	12.17. A fizikai hozzáférések felügyelete	SZ	X	-	X	Biztosító	X
248.	12.18. A fizikai hozzáférések felügyelete – Behatolásjelző és megfigyelő berendezések	SZ	X	-	X	Támogató	-
249.	12.21. A fizikai hozzáférések felügyelete – Rendszerekhez való fizikai hozzáférés-ellenőrzése	SZ	X	-	-	Támogató	-
250.	12.22. Látogatói hozzáférési naplók	SZ	X	-	-	Támogató	-
251.	12.23. Látogatói hozzáférési naplók – Nyilvántartások automatizált karbantartása és felülvizsgálata	SZ	X	-	-	Támogató	-
252.	12.24. Áramellátó berendezések és kábelezés	SZ	X	-	-	Támogató	-
253.	12.27. Vészkikapcsolás	SZ	X	-	X	Támogató	-
254.	12.28. Vészhelyzeti tápellátás	SZ	X	-	X	Támogató	-
255.	12.29. Vészhelyzeti tápellátás – Tartalék áramellátás – Minimális működési képesség	SZ	X	-	-	Támogató	-
256.	12.31. Vészvilágítás	SZ	X	-	X	Támogató	-
257.	12.33. Tűzvédelem	SZ	X	-	X	Biztosító	-
258.	12.34. Tűzvédelem – Érzékelőrendszerek – Automatikus élesítés és értesítés	SZ	X	-	X	Támogató	-
259.	12.35. Tűzvédelem – Tűzoltó berendezések – Automatikus élesítés és értesítés	SZ	X	-	X	Támogató	-
260.	12.37. Környezeti védelmi intézkedések	SZ	X	X	X	Biztosító	-
261.	12.40. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem	SZ	X	-	X	Biztosító	-
262.	12.41. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem – Automatizálás támogatása	SZ	X	-	-	Támogató	-
263.	12.42. Be- és kiszállítás	SZ	X	-	-	Támogató	-
264.	12.43. Munkavégzésre kijelölt alternatív helyszín	SZ	X	-	-	Biztosító	-
265.	12.44. Az információs rendszer elemeinek elhelyezése	SZ	X	-	-	Támogató	-
266.	13.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
267.	13.2. Rendszerbiztonsági terv	EIR	X	-	X	Biztosító	X
268.	13.3. Viselkedési szabályok	SZ	X	-	-	Támogató	-
269.	13.4. Viselkedési szabályok – Közösségi média és külső webhelyek, alkalmazások használatára vonatkozó korlátozások	SZ	X	-	-	Támogató	-
270.	13.6. Információbiztonsági architektúra leírás	EIR	X	-	-	Támogató	-
271.	13.10. Biztonsági követelmények kiválasztása	EIR	X	-	-	Támogató	-
272.	13.11. Biztonsági követelmények testre szabása	EIR	X	-	-	Támogató	-
273.	14.1. Szabályzat és eljárásrendek	SZ	X	X	-	Biztosító	X
274.	14.2. Munkakörök biztonsági szempontú besorolása	SZ	X	-	X	Támogató	-
275.	14.3. Személyek háttérellenőrzése	SZ	X	-	-	Támogató	-
276.	14.5. Személyek munkaviszonyának megszűnése	SZ	X	-	X	Biztosító	X
277.	14.7. Személyek munkaviszonyának megszűnése – Automatizált intézkedések	SZ	X	-	-	Biztosító	-
278.	14.8. Az áthelyezések, átirányítások és kirendelések kezelése	SZ	X	-	-	Támogató	-
279.	14.9. Hozzáférési megállapodások	SZ	X	-	-	Támogató	-
280.	14.11. Külső személyekhez kapcsolódó biztonsági követelmények	SZ	X	-	-	Támogató	-
281.	14.12. Fegyelmi intézkedések	SZ	X	-	-	Támogató	-
282.	14.13. Munkaköri leírások	SZ	X	X	-	Támogató	-
283.	15.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
284.	15.2. Biztonsági osztályba sorolás	SZ	X	-	X	Támogató	-
285.	15.4. Kockázatelemzés	SZ	X	-	X	Biztosító	X
286.	15.5. Kockázatelemzés – Ellátási lánc	SZ	X	-	-	Támogató	-
287.	15.9. Sérülékenységek ellenőrzése	EIR	X	-	X	Támogató	-
288.	15.10. Sérülékenységmenedzsment	EIR	X	-	X	Biztosító	-
289.	15.11. Sérülékenységmenedzsment – Sérülékenységi adatbázis frissítése	EIR	X	-	-	Támogató	-
290.	15.13. Sérülékenységmenedzsment – Felfedezhető információk	EIR	X	-	-	Támogató	-
291.	15.14. Sérülékenységmenedzsment – Privilegizált hozzáférés	EIR	X	-	-	Támogató	-
292.	15.18. Sérülékenységmenedzsment – Sérülékenységi információk fogadása	EIR	X	-	-	Támogató	-
293.	15.20. Kockázatokra adott válasz	EIR	X	-	-	Biztosító	-
294.	15.21. Rendszerelemek kritikusságának elemzése	EIR	X	-	-	Biztosító	-
295.	16.1. Szabályzat és eljárásrendek	SZ	X	X	-	Támogató	-
296.	16.2. Erőforrások rendelkezésre állása	SZ	X	X	-	Támogató	-
297.	16.3. A rendszer fejlesztési életciklusa	SZ	X	-	-	Támogató	-
298.	16.7. Beszerzések	EIR	X	X	-	Támogató	-
299.	16.8. Beszerzések – Alkalmazandó védelmi intézkedések funkcionális tulajdonságai	EIR	X	-	-	Támogató	-
300.	16.9. Beszerzések – Tervezési és megvalósítási információk a védelmi intézkedések teljesüléséhez	EIR	X	-	-	Támogató	-
301.	16.11. Beszerzések - Rendszer, rendszerelem és szolgáltatás konfigurációk – Rendszer, rendszerelem és szolgáltatás konfigurációk	EIR	X	-	-	Támogató	-
302.	16.13. Beszerzések – Használatban lévő funkciók, portok, protokollok és szolgáltatások	EIR	X	-	-	Támogató	-
303.	16.15. Az elektronikus információs rendszerre vonatkozó dokumentáció	EIR	X	-	X	Támogató	-
304.	16.16. Biztonságtervezési elvek	SZ	X	-	-	Támogató	-
305.	16.49. Külső elektronikus információs rendszerek szolgáltatásai	SZ	X	-	-	Támogató	-
306.	16.51. Külső információs rendszerek szolgáltatásai – Funkciók, portok, protokollok és szolgáltatások azonosítása	EIR	X	-	-	Támogató	-
307.	16.58. Fejlesztői változáskövetés	EIR	X	-	-	Biztosító	-
308.	16.66. Fejlesztői biztonsági tesztelés	EIR	X	-	X	Biztosító	-
309.	16.76. Fejlesztési folyamat, szabványok és eszközök	SZ	X	-	-	Támogató	-
310.	16.79. Fejlesztési folyamat, szabványok és eszközök – Kritikussági elemzés	SZ	X	-	-	Támogató	-
311.	16.86. Szoftverfejlesztők oktatása	SZ	X	-	-	Támogató	-
312.	16.87. Fejlesztői biztonsági architektúra és tervezés	SZ	X	-	-	Biztosító	X
313.	16.98. Külső fejlesztők háttérellenőrzése	SZ	X	-	-	Támogató	-
314.	16.99. Támogatással nem rendelkező rendszerelemek	EIR	X	-	X	Biztosító	X
315.	17.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
316.	17.2. Rendszer és felhasználói funkciók szétválasztása	EIR	X	-	-	Támogató	-
317.	17.4. Biztonsági funkciók elkülönítése	EIR	X	-	-	Támogató	-
318.	17.10. Információk az osztott használatú rendszererőforrásokban	EIR	X	-	X	Támogató	-
319.	17.12. Szolgáltatásmegtagadással járó támadások elleni védelem	EIR	X	-	X	Biztosító	X
320.	17.17. A határok védelme	EIR	X	-	X	Biztosító	X
321.	17.18. A határok védelme – Hozzáférési pontok	EIR	X	-	X	Támogató	-
322.	17.19. A határok védelme – Külső infokommunikációs szolgáltatások	EIR	X	-	X	Biztosító	-
323.	17.20. A határok védelme – Alapértelmezés szerinti elutasítás és kivétel alapú engedélyezés	EIR	X	-	X	Biztosító	-
324.	17.21. A határok védelme – Megosztott csatornahasználat távoli eszközök esetén	EIR	X	-	X	Támogató	-
325.	17.22. A határok védelme – A forgalom átirányítása hitelesített proxykiszolgálókra	EIR	X	-	-	Támogató	-
326.	17.32. A határok védelme – Biztonságos állapot fenntartása	EIR	X	-	-	Támogató	-
327.	17.35. A határok védelme – Rendszerelemek elkülönítése	EIR	X	-	X	Támogató	-
328.	17.40. Az adatátvitel bizalmassága és sértetlensége	EIR	X	-	X	Biztosító	-
329.	17.41. Az adatátvitel bizalmassága és sértetlensége – Kriptográfiai védelem	EIR	X	-	-	Támogató	-
330.	17.46. A hálózati kapcsolat megszakítása	EIR	X	-	-	Támogató	-
331.	17.49. Kriptográfiai kulcs előállítása és kezelése	EIR	X	-	X	Biztosító	X
332.	17.50. Kriptográfiai kulcs előállítása és kezelése – Rendelkezésre állás	EIR	X	-	-	Támogató	-
333.	17.53. Kriptográfiai védelem	EIR	X	-	X	Biztosító	X
334.	17.54. Együttműködésen alapuló informatikai eszközök	EIR	X	-	-	Támogató	-
335.	17.62. Nyilvános kulcsú infrastruktúra tanúsítványok	EIR	X	-	X	Támogató	-
336.	17.63. Mobilkód korlátozása	EIR	X	-	-	Támogató	-
337.	17.69. Biztonságos név/cím feloldási szolgáltatás (hiteles forrás)	EIR	X	-	X	Támogató	-
338.	17.71. Biztonságos név/cím feloldó szolgáltatás (rekurzív vagy gyorsítótárat használó feloldás)	EIR	X	-	-	Támogató	-
339.	17.72. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén	EIR	X	-	-	Támogató	-
340.	17.73. Munkaszakasz hitelessége	EIR	X	-	X	Biztosító	-
341.	17.77. Ismert állapotba való visszatérés	EIR	X	-	-	Biztosító	-
342.	17.81. Tárolt (at rest) adatok védelme	EIR	X	X	-	Biztosító	X
343.	17.82. Tárolt (at rest) adatok védelme – Kriptográfiai védelem	EIR	X	-	-	Támogató	-
344.	17.108. A folyamatok elkülönítése	EIR	X	-	-	Támogató	-
345.	18.1. Szabályzat és eljárásrendek	EIR	X	X	-	Biztosító	X
346.	18.2. Hibajavítás	EIR	X	-	X	Biztosító	X
347.	18.3. Hibajavítás – Automatizált hibaelhárítás állapota	EIR	X	-	-	Támogató	-
348.	18.8. Kártékony kódok elleni védelem	EIR	X	-	X	Biztosító	X
349.	18.13. Az EIR monitorozása	EIR	X	-	X	Biztosító	X
350.	18.15. Az EIR monitorozása – Automatizált eszközök és mechanizmusok valós idejű elemzéshez	EIR	X	-	-	Biztosító	-
351.	18.17. Az EIR monitorozása – Bejövő és kimenő kommunikációs forgalom	EIR	X	-	-	Biztosító	-
352.	18.18. Az EIR monitorozása – Rendszer által generált riasztások	EIR	X	-	X	Támogató	-
353.	18.21. Az EIR monitorozása – A titkosított kommunikáció láthatósága	EIR	X	-	-	Támogató	-
354.	18.23. Az EIR monitorozása – Automatikusan generált szervezeti riasztások	EIR	X	-	-	Támogató	-
355.	18.25. Az EIR monitorozása – Vezeték nélküli behatolást érzékelő rendszer	EIR	X	-	-	Támogató	-
356.	18.31. Az EIR monitorozása – Privilegizált felhasználók	EIR	X	-	-	Támogató	-
357.	18.33. Az EIR monitorozása – Engedély nélküli hálózati szolgáltatások	EIR	X	-	-	Támogató	-
358.	18.37. Biztonsági riasztások és tájékoztatások	EIR	X	X	-	Támogató	-
359.	18.38. Biztonsági riasztások és tájékoztatások – Automatizált figyelmeztetések és tanácsok	EIR	X	-	-	Támogató	-
360.	18.39. Biztonsági funkciók ellenőrzése	EIR	X	X	-	Biztosító	-
361.	18.42. Szoftver- és információsértetlenség	EIR	X	-	-	Támogató	-
362.	18.43. Szoftver-, firmware- és információsértetlenség – Sértetlenség ellenőrzése	EIR	X	-	-	Támogató	-
363.	18.44. Szoftver-, firmware- és információsértetlenség – Automatikus értesítések az sértetlenség megszűnéséről	EIR	X	-	-	Támogató	-
364.	18.46. Szoftver- és információsértetlenség – Automatikus reagálás	EIR	X	-	-	Támogató	-
365.	18.48. Szoftver- és információsértetlenség – Észlelés és a válaszadás integrálása	EIR	X	-	-	Támogató	-
366.	18.53. Szoftver-, firmware- és információsértetlenség – Kódok hitelesítése	EIR	X	-	-	Támogató	-
367.	18.56. Kéretlen üzenetek elleni védelem	EIR	X	-	X	Biztosító	-
368.	18.57. Kéretlen üzenetek elleni védelem – Automatikus frissítések	EIR	X	-	X	Biztosító	-
369.	18.59. Bemeneti információ ellenőrzés	EIR	X	-	X	Biztosító	-
370.	18.66. Hibakezelés	EIR	X	-	-	Támogató	-
371.	18.67. Információ kezelése és megőrzése	EIR	X	-	-	Támogató	-
372.	18.78. Memóriavédelem	EIR	X	-	-	Biztosító	-
373.	19.1. Szabályzat és eljárásrendek	SZ	X	X	-	Biztosító	X
374.	19.2. Ellátási láncra vonatkozó kockázatmenedzsment szabályzat	SZ	X	-	-	Biztosító	X
375.	19.4. Ellátási láncra vonatkozó követelmények és folyamatok	SZ	X	-	-	Támogató	-
376.	19.7. Ellátási lánc ellenőrzések és folyamatok – Alvállalkozók	SZ	X	-	-	Támogató	-
377.	19.13. Beszerzési stratégiák, eszközök és módszerek	SZ	X	-	-	Támogató	-
378.	19.16. Beszállítók értékelése és felülvizsgálata	SZ	X	-	-	Biztosító	-
379.	19.19. Értesítési megállapodások	SZ	X	-	-	Támogató	-
380.	19.20. Hamisítás elleni védelem	SZ	X	-	-	Biztosító	X
381.	19.21. Hamisítás elleni védelem - Rendszerfejlesztési életciklus	SZ	X	-	-	Támogató	-
382.	19.22. Rendszerek vagy rendszerelemek vizsgálata	SZ	X	-	-	Biztosító	-
383.	19.23. Rendszerelem hitelessége	SZ	X	-	-	Biztosító	-
384.	19.24. Rendszerelem hitelessége – Hamisítás elleni képzés	SZ	X	-	-	Támogató	-
385.	19.25. Rendszerelem hitelessége – Konfigurációfelügyelet	SZ	X	-	-	Támogató	-
386.	19.27. Rendszerelem selejtezése, megsemmisítése	SZ	X	-	-	Támogató	-

7. melléklet az 1/2025. (I. 31.) SZTFH rendelethez

Az MKr. szerinti követelménycsoportok értékelése

1. Programmenedzsment

	A	B	C
1.	MKr. 2. melléklete szerinti követelménycsoport	Hivatkozási kód	Elemi követelmény
2.	1.1. Információbiztonsági szabályzat	K01.001_P[1]	meghatározott a szervezet egészére kiterjedő információbiztonsági szabályzat felülvizsgálatának és frissítésének gyakorisága
3.		K01.001_P[2]	meghatározásra kerültek azok az események, amelyek kiváltják az egész szervezetre kiterjedő információbiztonsági szabályzat felülvizsgálatát és frissítését
4.		K01.001_O.1.1.1.1.(a)	az információbiztonsági szabályzat áttekintést nyújt a biztonsággal kapcsolatos követelményekről
5.		K01.001_O.1.1.1.1.(b)	az információbiztonsági szabályzat áttekintést nyújt a védelmi intézkedésekről, amelyeket az MKr. szerinti követelmények teljesítése érdekében alkalmaznak vagy terveznek bevezetni
6.		K01.001_O.1.1.1.2.(a)	az információbiztonsági szabályzat meghatározza a célkitűzéseket
7.		K01.001_O.1.1.1.2.(b)	az információbiztonsági szabályzat meghatározza a szerepkörök azonosítását és kijelölését
8.		K01.001_O.1.1.1.2.(c)	az információbiztonsági szabályzat meghatározza a felelősségek azonosítását és kijelölését
9.		K01.001_O.1.1.1.2.(d)	az információbiztonsági szabályzat rögzíti a vezetői elkötelezettséget a biztonsággal kapcsolatos követelményeknek való megfelelés iránt
10.		K01.001_O.1.1.1.2.(e)	az információbiztonsági szabályzat szabályozza a szervezeti egységek közötti együttműködést
11.		K01.001_O.1.1.1.2.(f)	az információbiztonsági szabályzat rendelkezik a megfelelőségről
12.		K01.001_O.1.1.1.3	az információbiztonsági szabályzat leírja az információbiztonságért felelős szervezeti egységek közötti együttműködést
13.		K01.001_O.1.1.1.4	az információbiztonsági szabályzatot olyan vezető tisztviselő hagyta jóvá, aki felelős és elszámoltatható a szervezeti működésre (beleértve a célkitűzéseket, a funkciókat, az arculatot és a hírnevet), a szervezeti eszközökre, a személyekre és más szervezetekre jelentett kockázatokért
14.		K01.001_O.1.1.1.(a)	az egész szervezetre kiterjedő információbiztonsági szabályzat kidolgozásra került
15.		K01.001_O.1.1.1.(b)	az információbiztonsági szabályzat kihirdetése dokumentált módon megtörtént
16.		K01.001_O.1.1.2.(a)	az információbiztonsági szabályzatot felülvizsgálják és frissítik a K01.001_P[1] szerint meghatározott gyakorisággal
17.		K01.001_O.1.1.2.(b)	az információbiztonsági szabályzatot a K01.001_P[2] által meghatározott eseményeket követően felülvizsgálják és frissítik
18.		K01.001_O.1.1.3.(a)	az információbiztonsági szabályzat védett a jogosulatlan megismeréssel szemben
19.		K01.001_O.1.1.3.(b)	az információbiztonsági szabályzat védett a jogosulatlan módosítással szemben
20.	1.2. Elektronikus információs rendszerek biztonságáért felelős személy	K01.002_O.1.2.(a)	a biztonságért felelős személy kinevezése megtörtént
21.		K01.002_O.1.2.(b)	a biztonságért felelős személy rendelkezik a szervezet egészére kiterjedő információbiztonsági szabályzat koordinálásához szükséges feladatkörrel és erőforrásokkal
22.		K01.002_O.1.2.(c)	a biztonságért felelős személy rendelkezik a szervezet egészére kiterjedő információbiztonsági szabályzat fejlesztéséhez szükséges hatáskörrel és erőforrásokkal
23.		K01.002_O.1.2.(d)	a biztonságért felelős személy rendelkezik a szervezet egészére kiterjedő információbiztonsági szabályzat bevezetéséhez szükséges hatáskörrel és erőforrásokkal
24.		K01.002_O.1.2.(e)	a biztonságért felelős személy rendelkezik a szervezet egészére kiterjedő információbiztonsági szabályzat fenntartásához szükséges hatáskörrel és a célok eléréséhez szükséges erőforrásokkal
25.	1.3. Információbiztonságot érintő erőforrások	K01.003_O.1.3.1	az információbiztonsági szabályzat végrehajtásához szükséges erőforrások szerepelnek az éves költségvetés tervezésében és a szervezet beruházási terveiben, valamint minden, a követelmény alóli kivétel dokumentálásra került
26.		K01.003_O.1.3.2	az információbiztonsági szabályzat végrehajtásához szükséges erőforrások szerepelnek az éves költségvetés tervezésében és a szervezet beruházási terveiben, és az ahhoz szükséges dokumentáció összhangban van a hatályos jogszabályi rendelkezésekkel, irányelvekkel, szabályozásokkal, szabványokkal és ajánlásokkal
27.		K01.003_O.1.3.3	az információbiztonsági forrásokat a tervezett kiadásokra rendelkezésre bocsátották és bocsátják
28.	1.4. Intézkedési terv és mérföldkövei	K01.004_P[1]	a szervezet a cselekvési tervek és mérföldköveik jelentési követelményeit meghatározta
29.		K01.004_O.1.4.1.1.(a)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az információbiztonsági szabályzatra és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési terveket és mérföldköveket dolgozzanak ki
30.		K01.004_O.1.4.1.1.(b)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az információbiztonsági szabályzatra és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési terveket és mérföldköveket karban tartják
31.		K01.004_O.1.4.1.1.(c)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az ellátási lánc kockázatkezelésére és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési terveket és mérföldköveket dolgozzanak ki
32.		K01.004_O.1.4.1.1.(d)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az ellátási lánc kockázatkezelésére és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési terveket és mérföldköveket karban tartják
33.		K01.004_O.1.4.1.2.(a)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az információbiztonsági szabályzatra és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési tervek és mérföldkövek dokumentálják az információbiztonsági kockázatkezeléssel kapcsolatos helyreállító intézkedéseket
34.		K01.004_O.1.4.1.2.(b)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az ellátási lánc kockázatkezelésére és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési tervek és mérföldkövek dokumentálják az ellátási lánc kockázatkezelésével kapcsolatos helyreállító intézkedéseket
35.		K01.004_O.1.4.1.3.(a)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az információbiztonsági kockázatkezelési szabályzatra és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési tervek és mérföldkövek a K01.004_P[1]-nek megfelelően bemutatásra kerüljenek
36.		K01.004_O.1.4.1.3.(b)	a szervezet fenntart olyan folyamatot, amely biztosítja, hogy az ellátási lánc kockázatkezelési szabályzatra és a kapcsolódó szervezeti rendszerekre vonatkozó cselekvési tervek és mérföldkövek a K01.004_P[1]-nek megfelelően bemutatásra kerüljenek
37.		K01.004_O.1.4.2.(a)	az intézkedési terveket és a mérföldköveket a szervezeti kockázatkezelési stratégiával való összhang szempontjából felülvizsgálják
38.		K01.004_O.1.4.2.(b)	a cselekvési terveket és a mérföldköveket felülvizsgálják a kockázatkezelési intézkedésekre vonatkozó, az egész szervezetre kiterjedő prioritásokkal való összhang szempontjából
39.	1.5. Elektronikus információs rendszerek nyilvántartása	K01.005_P[1]	meghatározott, hogy milyen gyakorisággal kell felülvizsgálni az EIR-ek nyilvántartását
40.		K01.005_O.1.5.(a)	az elektronikus információs rendszerek nyilvántartását létrehozták
41.		K01.005_O.1.5.(b)	az elektronikus információs rendszerek nyilvántartását frissítik a szervezet EIR-jeiben bekövetkezett változások esetén
42.		K01.005_O.1.5.(c)	a szervezeti rendszerek nyilvántartását felülvizsgálják a K01.005_P[1] által meghatározott gyakorisággal
43.	1.6. Biztonsági teljesítmény mérése	K01.006_O.1.6.(a)	az információbiztonsági teljesítménymutatókat kidolgozták
44.		K01.006_O.1.6.(b)	az információbiztonsági teljesítménymutatók nyomon követése biztosított
45.		K01.006_O.1.6.(c)	az információbiztonsági teljesítménymutatók eredményei jelentésre kerülnek
46.	1.7. Szervezeti architektúra	K01.007_O.1.7.(a)	a szervezetrendszert a szervezeti működésre és eszközökre, az egyénekre és más szervezetekre jelentett kockázatok figyelembevételével alakítják ki
47.	1.7. Szervezeti architektúra	K01.007_O.1.7.(b)	a szervezetrendszert a szervezeti működésre és eszközökre, az egyénekre és más szervezetekre jelentett kockázatok figyelembevételével tartják fenn
48.	1.9. A szervezet működése szempontjából kritikus infrastruktúra biztonsági terve	K01.009_O.1.9.(a)	az információbiztonsági kérdésekkel a kritikus infrastruktúrák és kulcsfontosságú erőforrások védelmére vonatkozó terv kidolgozása során foglalkoznak
49.		K01.009_O.1.9.(b)	az információbiztonsági kérdésekkel a kritikus infrastruktúrák és kulcsfontosságú erőforrások védelmére vonatkozó terv dokumentálása során foglalkoznak
50.		K01.009_O.1.9.(c)	az információbiztonsági kérdésekkel a kritikus infrastruktúrák és kulcsfontosságú erőforrások védelmére vonatkozó terv frissítése során foglalkoznak
51.	1.10. Kockázatmenedzsment stratégia	K01.010_P[1]	meghatározott a kockázatmenedzsment stratégia felülvizsgálatának és frissítésének gyakorisága annak érdekében, hogy a szervezeti változásoknak megfeleljen
52.		K01.010_P[2]	meghatározottak azok az esetek, amelyek indokolják a kockázatmenedzsment stratégia felülvizsgálatát és frissítését annak érdekében, hogy az a szervezeti változásoknak megfeleljen
53.		K01.010_O.1.10.1.1	átfogó stratégia került kidolgozásra a szervezeti működés és vagyonelemek, a személyek és más szervezetekhez kapcsolódó, illetve a szervezeti rendszerek működéséhez és használatához kapcsolódó biztonsági kockázatok kezelésére
54.		K01.010_O.1.10.1.2	átfogó stratégia került kidolgozásra a személyazonosításra alkalmas információk engedélyezett feldolgozásából eredő, az egyéneket érintő adatvédelmi kockázatok kezelésére
55.		K01.010_O.1.10.2	a kockázatmenedzsment stratégiát egységesen hajtják végre a szervezeten belül
56.		K01.010_O.1.10.3.(a)	a kockázatmenedzsment stratégiát felülvizsgálják és frissítik a K01.010_P[1] által meghatározott gyakorisággal
57.		K01.010_O.1.10.3.(b)	a kockázatmenedzsment stratégiát felülvizsgálják és frissítik a K01.010_P[2] szerinti esetekben
58.	1.11. Engedélyezési folyamatok meghatározása	K01.011_O.1.11.1	az EIR-ek biztonsági állapotát és a környezetet, amelyben ezek a rendszerek működnek, engedélyezési folyamatok segítségével kezelik
59.		K01.011_O.1.11.2	a szervezeti kockázatmenedzsment folyamaton belül meghatározottak szerepek és felelősségi körök betöltésére kijelölt személyek
60.		K01.011_O.1.11.3	az engedélyezési folyamatokat a szervezet egészére kiterjedő kockázatmenedzsment programba illesztették és működtetik
61.	1.12. Szervezeti működés és üzleti folyamatok meghatározása	K01.012_P[1]	meghatározott a szervezeti célok és az üzleti folyamatok felülvizsgálatának és frissítésének gyakorisága
62.		K01.012_O.1.12.1.(a)	a szervezeti célok és az üzleti folyamatok meghatározása az információbiztonság figyelembevételével történt
63.		K01.012_O.1.12.1.(b)	a szervezeti célokat és az üzleti folyamatokat a szervezeti működésre, a szervezeti eszközökre, a személyekre és más szervezetekre vonatkozó kockázatok figyelembevételével határozták meg
64.		K01.012_O.1.12.2	a meghatározott célokból és üzleti folyamatokból eredő információvédelmi igények meghatározásra kerültek
65.		K01.012_O.1.12.3	a szervezeti célok és az üzleti folyamatok felülvizsgálata és módosítása a K01.012_P[1] által meghatározott gyakorisággal történik
66.	1.14. Biztonsági személyzet képzése	K01.014_O.1.14 (a)	létrehozásra került egy, a biztonsági személyzet képzését elősegítő program
67.	1.14. Biztonsági személyzet képzése	K01.014_O.1.14 (b)	létrehozásra került egy, a biztonsági személyzet fejlesztését elősegítő program
68.	1.15. Tesztelés, képzés és felügyelet	K01.015_O.1.15.1.(a)	a szervezet folyamatot tart fenn annak biztosítására, hogy az EIR-ekhez kapcsolódó biztonsági tesztelésre, képzésre és felügyeleti tevékenységekre vonatkozó szervezeti terveket dolgozzanak ki
69.		K01.015_O.1.15.1.(b)	a szervezet folyamatot tart fenn annak biztosítására, hogy az EIR-ekhez kapcsolódó biztonsági tesztelésre, képzésre és felügyeleti tevékenységekre vonatkozó szervezeti terveket karbantartsák
70.		K01.015_O.1.15.1.(c)	a szervezet folyamatot tart fenn annak biztosítására, hogy az EIR-ekhez kapcsolódó biztonsági tesztelésre, képzésre és felügyeleti tevékenységekre vonatkozó szervezeti terveket folyamatosan végrehajtsák
71.		K01.015_O.1.15.2.(a)	a tesztelési terveket felülvizsgálják a szervezeti kockázatmenedzsment stratégiával való összhang szempontjából
72.		K01.015_O.1.15.2.(b)	a képzési terveket felülvizsgálják a szervezeti kockázatmenedzsment stratégiával való összhang szempontjából
73.		K01.015_O.1.15.2.(c)	a felügyeleti terveket felülvizsgálják a szervezeti kockázatmenedzsment stratégiával való összhang szempontjából
74.		K01.015_O.1.15.2.(d)	a tesztelési terveket felülvizsgálják a kockázatkezelési intézkedésekre vonatkozó, az egész szervezetre kiterjedő prioritásokkal való összhang szempontjából
75.		K01.015_O.1.15.2.(e)	a képzési terveket felülvizsgálják a kockázatkezelési intézkedésekre vonatkozó, az egész szervezetre kiterjedő prioritásokkal való összhang szempontjából
76.		K01.015_O.1.15.2.(f)	a felügyeleti terveket felülvizsgálják a kockázatkezelési intézkedésekre vonatkozó, az egész szervezetre kiterjedő prioritásokkal való összhang szempontjából
77.	1.16. Szakmai csoportokkal és közösségekkel való kapcsolattartás	K01.016_ O.1.16	a szervezet kapcsolatot tart szakmai csoportokkal és közösségekkel az MKr. szerinti követelmények teljesítése érdekében
78.	1.17. Fenyegetettség tudatosító program	K01.017_O.1.17	olyan fenyegetettség tudatosító programot hajtanak végre, amely magában foglalja a fenyegetések felismerését szolgáló szervezeten belüli és szervezetek közötti információmegosztási képességet
79.	1.19. Kockázatmenedzsment keretrendszer	K01.019_P[1]	a kockázatmenedzsment tevékenységek eredményeit megismerő személyek meghatározásra kerültek
80.		K01.019_P[2]	meghatározták a kockázatmenedzsment keretrendszer felülvizsgálatának és frissítésének gyakoriságát
81.		K01.019_O.1.19.1.1.(a)	a kockázatelemzést befolyásoló feltételezések azonosítása és dokumentálása megtörtént
82.		K01.019_O.1.19.1.1.(b)	a kockázatkezelést befolyásoló feltételezések azonosítása és dokumentálása megtörtént
83.		K01.019_O.1.19.1.1.(c)	a kockázatok felügyeletét befolyásoló feltételezések azonosítása és dokumentálása megtörtént
84.		K01.019_O.1.19.1.2.(a)	a kockázatelemzést befolyásoló megkötések azonosítása és dokumentálása megtörtént
85.		K01.019_O.1.19.1.2.(b)	a kockázatkezelést befolyásoló megkötések azonosítása és dokumentálása megtörtént
86.		K01.019_O.1.19.1.2.(c)	a kockázatok felügyeletét befolyásoló megkötések azonosítása és dokumentálása megtörtént
87.		K01.019_O.1.19.1.3.(a)	a szervezet által a kockázatmenedzsment során figyelembe vett prioritásokat azonosították és dokumentálták
88.		K01.019_O.1.19.1.3.(b)	a szervezet által a kockázatmenedzsment során figyelembe vett kompromisszumokat azonosították és dokumentálták
89.		K01.019_O.1.19.1.4	a szervezeti kockázattűrő képességet azonosították és dokumentálták
90.		K01.019_O.1.19.2	a kockázatmenedzsment tevékenységek eredményeit a K01.019_P[1] által meghatározott személyek megismerték
91.		K01.019_O.1.19.3	a kockázatmenedzsment szempontjait felülvizsgálják és frissítik a K01.019_P[2] által meghatározott gyakorisággal
92.	1.20. Kockázatkezelésért felelős szerepkörök	K01.020_O.1.20.1.(a)	a kockázatkezelésért felelős személyt kijelölésre került
93.		K01.020_O.1.20.1.(b)	a kockázatkezelésért felelős személy összehangolja az információbiztonság irányítási folyamatait a stratégiai, működési és költségvetési tervezési folyamatokkal
94.		K01.020_O.1.20.2.(a)	a kockázati vezető kijelölésre került
95.		K01.020_O.1.20.2.(b)	a kockázati vezető az egész szervezetre kiterjedő szempontból áttekinti és elemzi a kockázatokat
96.		K01.020_O.1.20.2.(c)	a kockázati vezető biztosítja, hogy a kockázatkezelés egységes legyen a szervezeten belül
97.	1.21. Ellátási lánc kockázatmenedzsment stratégiája	K01.021_P[1]	meghatározott az ellátási lánc kockázatmenedzsment stratégiája felülvizsgálatának és frissítésének gyakorisága
98.		K01.021_O.1.21.1.(a)	az egész szervezetre kiterjedő stratégiát dolgoznak ki az ellátási lánc kockázatainak kezelésére
99.		K01.021_O.1.21.1.(b)	az ellátási lánc kockázatmenedzsment stratégiája az EIR-ek fejlesztésével kapcsolatos kockázatokkal foglalkozik
100.		K01.021_O.1.21.1.(c)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerelemek fejlesztésével kapcsolatos kockázatokkal foglalkozik
101.		K01.021_O.1.21.1.(d)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerszolgáltatások fejlesztésével kapcsolatos kockázatokkal foglalkozik
102.		K01.021_O.1.21.1.(e)	az ellátási lánc kockázatmenedzsment stratégiája az EIR-ek beszerzésével kapcsolatos kockázatokkal foglalkozik
103.		K01.021_O.1.21.1.(f)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerelemek beszerzésével kapcsolatos kockázatokkal foglalkozik
104.		K01.021_O.1.21.1.(g)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerszolgáltatások beszerzésével kapcsolatos kockázatokkal foglalkozik
105.		K01.021_O.1.21.1.(h)	az ellátási lánc kockázatmenedzsment stratégiája az EIR-ek karbantartásával kapcsolatos kockázatokkal foglalkozik
106.		K01.021_O.1.21.1.(i)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerelemek karbantartásával kapcsolatos kockázatokkal foglalkozik
107.		K01.021_O.1.21.1.(j)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerszolgáltatások karbantartásával kapcsolatos kockázatokkal foglalkozik
108.		K01.021_O.1.21.1.(k)	az ellátási lánc kockázatmenedzsment stratégiája az EIR-ek üzemeltetésével kapcsolatos kockázatokkal foglalkozik
109.		K01.021_O.1.21.1.(l)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerelemek üzemeltetésével kapcsolatos kockázatokkal foglalkozik
110.		K01.021_O.1.21.1.(m)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerszolgáltatások üzemeltetésével kapcsolatos kockázatokkal foglalkozik
111.		K01.021_O.1.21.1.(n)	az ellátási lánc kockázatmenedzsment stratégiája az EIR-ek selejtezésével kapcsolatos kockázatokkal foglalkozik
112.		K01.021_O.1.21.1.(o)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerelemek selejtezésével kapcsolatos kockázatokkal foglalkozik
113.		K01.021_O.1.21.1.(p)	az ellátási lánc kockázatmenedzsment stratégiája a rendszerszolgáltatások selejtezésével kapcsolatos kockázatokkal foglalkozik
114.		K01.021_O.1.21.2	az ellátási lánc kockázatmenedzsment stratégiáját következetesen hajtják végre a szervezeten belül
115.		K01.021_O.1.21.3	az ellátási lánc kockázatmenedzsment stratégiáját felülvizsgálják és frissítik a K01.021_P[1] által meghatározott gyakorisággal vagy a szervezeti változásoknak megfelelően
116.	1.22. Ellátási lánc kockázatmenedzsment stratégia – Üzletmenet (ügymenet) szempontjából kritikus termékek beszállítói	K01.022_O.1.22.(a)	a kritikus technológiák, termékek és szolgáltatások beszállítóinak azonosítása megtörténik
117.		K01.022_O.1.22.(b)	a kritikus technológiák, termékek és szolgáltatások beszállítóinak rangsorolása megtörténik
118.		K01.022_O.1.22.(c)	a kritikus technológiák, termékek és szolgáltatások beszállítóinak értékelése megtörténik
119.	1.23. Folyamatos felügyeleti stratégia	K01.023_P[1]	a szervezet egészére kiterjedő folyamatos nyomonkövetés teljesítménymutatóinak meghatározása megtörtént
120.		K01.023_P[2]	a nyomonkövetés gyakoriságának meghatározása megtörtént
121.		K01.023_P[3]	a hatékonyság-értékelés gyakoriságának meghatározása megtörtént
122.		K01.023_P[4]	meghatározásra kerültek az EIR-ek biztonsági állapotáról jelentést tevő személyek vagy szerepkörök
123.		K01.023_P[5]	meghatározták, hogy milyen gyakorisággal kell jelenteni a szervezeti rendszerek biztonsági állapotát
124.		K01.023_O.1.23	az egész szervezetre kiterjedő folyamatos felügyeleti stratégiát dolgoztak ki
125.		K01.023_O.1.23.1	folyamatos felügyeleti programokat hajtanak végre, amelyek tartalmazzák a K01.023_P[1] által meghatározott teljesítménymutatók meghatározását
126.		K01.023_O.1.23.2.(a)	folyamatos felügyeleti programokat hajtanak végre, amelyek meghatározzák a felügyeletet
127.		K01.023_O.1.23.2.(b)	folyamatos felügyeleti programokat hajtanak végre K01.023_P[3] által meghatározott gyakorisággal, amelyek meghatározzák a hatékonyság-értékelést
128.		K01.023_O.1.23.3	folyamatos felügyeleti programot hajtanak végre K01.023_P[2] által meghatározott gyakorisággal, amely a K01.023_P[1] által meghatározott teljesítménymutatók folyamatos figyelemmel követését biztosítja
129.		K01.023_O.1.23.4.(a)	folyamatos felügyeleti programokat hajtanak végre, amelyek magukban foglalják a felügyeleti értékelések és a felügyelet által generált információk összefüggéseit
130.		K01.023_O.1.23.4.(b)	folyamatos felügyeleti programokat hajtanak végre, amelyek magukban foglalják a felügyeleti értékelések és a felügyelet által generált információk elemzését
131.		K01.023_O.1.23.5.(a)	folyamatos felügyeleti programokat hajtanak végre, amelyek a felügyeleti értékelési információk elemzésére irányuló válaszlépéseket tartalmaznak
132.		K01.023_O.1.23.5.(b)	folyamatos felügyeleti programokat hajtanak végre, amelyek a felügyeleti információk elemzésére irányuló válaszlépéseket tartalmaznak
133.		K01.023_O.1.23.6	folyamatos felügyeleti programokat hajtanak végre, amelyek magukban foglalják a szervezeti rendszerek biztonsági állapotának jelentését a K01.023_P[4] által meghatározott személyeknek vagy szerepköröknek a K01.023_P[5] által meghatározott gyakorisággal

2. Hozzáférés-felügyelet

	A	B	C
1.	MKr. 2. melléklete szerinti követelménycsoport	Hivatkozási kód	Elemi követelmény
2.	2.1. Szabályzat és eljárásrendek	K02.001_P[1]	meghatározott azon személyek vagy szerepkörök listája, akikkel meg kell ismertetni a hozzáférés-felügyeleti szabályzatot
3.		K02.001_P[2]	meghatározott, hogy a hozzáférés-felügyeleti szabályzat szervezeti, folyamat- vagy rendszerszintű
4.		K02.001_P[3]	meghatározott azon személyek vagy szerepkörök listája, akikkel meg kell ismertetni a hozzáférés-felügyeleti eljárásrendet
5.		K02.001_P[4]	meghatározott a hozzáférés-felügyeleti szabályzat és eljárások kidolgozásának, dokumentálásának, kiadásának és megismertetésének irányításáért felelős személy
6.		K02.001_P[5]	meghatározott a hozzáférés-felügyeleti szabályzat felülvizsgálatának gyakorisága
7.		K02.001_P[6]	meghatározottak a hozzáférés-felügyeleti szabályzat felülvizsgálatát igénylő események
8.		K02.001_P[7]	meghatározott a hozzáférés-felügyeleti eljárásrend felülvizsgálatának gyakorisága
9.		K02.001_P[8]	meghatározottak a hozzáférés-felügyeleti eljárásrend felülvizsgálatát igénylő események
10.		K02.001_O.2.1.1.(a)	a K02.001_P[2] szintű hozzáférés-felügyeleti szabályzatot a szervezet kidolgozta és dokumentálta
11.		K02.001_O.2.1.1.(b)	a hozzáférés-felügyeleti szabályzatot a szervezet kiadta
12.		K02.001_O.2.1.1.(c)	a hozzáférés-felügyeleti szabályzatot a szervezet a K02.001_P[1] szerinti személyekkel vagy szerepkörökkel megismertette
13.		K02.001_O.2.1.1.1.1.(a)	a hozzáférés-felügyeleti szabályzat meghatározza a célkitűzéseket
14.		K02.001_O.2.1.1.1.1.(b)	a hozzáférés-felügyeleti szabályzat hatálya meghatározásra került
15.		K02.001_O.2.1.1.1.1.(c)	a hozzáférés-felügyeleti szabályzat meghatározza a szerepköröket
16.		K02.001_O.2.1.1.1.1.(d)	a hozzáférés-felügyeleti szabályzat meghatározza a felelősségeket
17.		K02.001_O.2.1.1.1.1.(e)	a hozzáférés-felügyeleti szabályzat rögzíti a szabályzat céljával kapcsolatos a vezetői elkötelezettséget
18.		K02.001_O.2.1.1.1.1.(f)	a hozzáférés-felügyeleti szabályzat meghatározza a szervezeten belüli együttműködés kereteit
19.		K02.001_O.2.1.1.1.1.(g)	a hozzáférés-felügyeleti szabályzat meghatározza a megfelelőségi kritériumokat
20.		K02.001_O.2.1.1.1.2	a hozzáférés-felügyeleti szabályzat összhangban van a szervezetre vonatkozó jogszabályokkal, irányelvekkel, szabályozásokkal, szabványokkal és ajánlásokkal
21.		K02.001_O.2.1.1.2.(a)	a hozzáférés-felügyeleti eljárásrendet a szervezet kidolgozta és dokumentálta
22.		K02.001_O.2.1.1.2.(b)	a hozzáférés-felügyeleti eljárásrendet a szervezet kiadta
23.		K02.001_O.2.1.1.2.(c)	a hozzáférés-felügyeleti eljárásrendet a szervezet a K02.001_P[3] szerinti személyekkel vagy szerepkörökkel megismertette
24.		K02.001_O.2.1.2	a szervezet K02.001_P[4] szerint kijelölte a hozzáférés-felügyeleti szabályzat és eljárások kidolgozásának, dokumentálásának, kiadásának és megismertetésének irányításáért felelős személyt
25.		K02.001_O.2.1.3.(a)	a hozzáférés-felügyeleti szabályzatot a szervezet a K02.001_P[5] szerinti rendszerességgel felülvizsgálja és frissíti
26.		K02.001_O.2.1.3.(b)	a hozzáférés-felügyeleti szabályzatot a szervezet a K02.001_P[6] szerinti esemény(ek) bekövetkezésekor felülvizsgálja és frissíti
27.		K02.001_O.2.1.3.(c)	a hozzáférés-felügyeleti eljárásrendet a szervezet K02.001_P[7] szerinti rendszerességgel felülvizsgálja és frissíti
28.		K02.001_O.2.1.3.(d)	a hozzáférés-felügyeleti eljárásrendet a szervezet K02.001_P[8] szerinti esemény(ek) bekövetkezésekor felülvizsgálja és frissíti
29.	2.2. Fiókkezelés	K02.002_P[1]	meghatározottak a fiókok létrehozására irányuló kérelmek jóváhagyásához szükséges személyek vagy szerepkörök
30.		K02.002_P[2]	meghatározottak a fiókok létrehozására, engedélyezésére, módosítására, letiltására és eltávolítására vonatkozó irányelvek, eljárások, előfeltételek és kritériumok
31.		K02.002_P[3]	meghatározott az eseményekről értesítendő személy vagy szerepkör
32.		K02.002_P[4]	meghatározott az az időintervallum, amelyen belül a felhasználói fiókok megszüntetéséről a fiókkezelőket értesíteni kell
33.		K02.002_P[5]	meghatározott az az időintervallum, amelyen belül a felhasználók jogviszony megszűnéséről a fiókkezelőket értesíteni kell
34.		K02.002_P[6]	meghatározott az az időintervallum, amelyen belül a rendszerhasználat vagy az egyén számára szükséges ismeretek változásáról a fiókkezelőket értesíteni kell
35.		K02.002_P[7]	meghatározottak a rendszerhez való hozzáférés engedélyezéséhez egyéb, a szervezet által elvárt jellemzők
36.		K02.002_P[8]	meghatározott a felhasználói fiókok felülvizsgálata rendszerességének időintervalluma
37.		K02.002_O.2.2.1.(a)	az engedélyezett fióktípusokat meghatározták és dokumentálták
38.		K02.002_O.2.2.1.(b)	a kifejezetten tiltott fióktípusokat meghatározták és dokumentálták
39.		K02.002_O.2.2.2	a fiókkezelők kijelölésre kerültek
40.		K02.002_O.2.2.3	meghatározták a csoport- és szerepkör tagsági feltételeket és kritériumokat
41.		K02.002_O.2.2.4.1	meghatározták a rendszerben engedélyezett felhasználókat
42.		K02.002_O.2.2.4.2	meghatározták a csoport- és szerepkör tagságokat
43.		K02.002_O.2.2.4.3.(a)	meghatározták a hozzáférési jogosultságokat minden egyes felhasználói fiókra
44.		K02.002_O.2.2.4.3.(b)	meghatározták a felhasználói fiókokhoz tartozó jellemzőket
45.		K02.002_O.2.2.5	a felhasználói fiókok létrehozására vonatkozó kérelmek jóváhagyását a K02.002_P[1] szerepköröket betöltő személyek végzeték el
46.		K02.002_O.2.2.6.(a)	a fiókok létrehozása a K02.002_P[2] alapján történik
47.		K02.002_O.2.2.6.(b)	a fiókok engedélyezése a K02.002_P[2] alapján történik
48.		K02.002_O.2.2.6.(c)	a fiókok módosítása a K02.002_P[2] alapján történik
49.		K02.002_O.2.2.6.(d)	a fiókok letiltása a K02.002_P[2] alapján történik
50.		K02.002_O.2.2.6.(e)	a fiókok törlése a K02.002_P[2] alapján történik
51.		K02.002_O.2.2.7	a szervezet nyomon követi a fiókok használatát
52.		K02.002_O.2.2.8.1	K02.002_P[4] időn belül értesítésre kerül a fiókkezelő, illetve a K02.002_P[3] szerinti személy vagy szerepkör abban az esetben, ha a fiókok már nem szükségesek
53.		K02.002_O.2.2.8.2	amikor a felhasználók jogviszonya megszűnik, arról a K02.002_P[5] szerinti időn belül értesítésre kerül a fiókkezelő, illetve a K02.002_P[3] szerinti személy vagy szerepkör
54.		K02.002_O.2.2.8.3	K02.002_P[6] szerinti időn belül értesítésre kerül a fiókkezelő, illetve a K02.002_P[3] szerinti személy vagy szerepkör, amikor a rendszerhasználat vagy az egyén számára szükséges ismeretek megváltoznak
55.		K02.002_O.2.2.9.1	a szervezet érvényes hozzáférési engedély alapján engedélyezi a rendszerhez való hozzáférést
56.		K02.002_O.2.2.9.2	a szervezet a tervezett rendszerhasználatnak megfelelően engedélyezi a rendszerhez való hozzáférést
57.		K02.002_O.2.2.9.3	a szervezet a K02.002_P[7] által meghatározottaknak megfelelően engedélyezi a rendszerhez való hozzáférést
58.		K02.002_O.2.2.10	K02.002_P[8] szerinti időn belül ellenőrzik a felhasználói fiókokat a fiókkezelési követelmények betartása szempontjából
59.		K02.002_O.2.2.11.(a)	létrehozott a szervezet egy folyamatot a megosztott vagy csoport felhasználói fiókok hitelesítési adatainak megváltoztatására az egyének csoportból történő eltávolításának esetére
60.		K02.002_O.2.2.11.(b)	végrehajt a szervezet egy folyamatot a megosztott vagy csoport felhasználói fiókok hitelesítési adatainak megváltoztatására az egyének csoportból történő eltávolításának esetére
61.		K02.002_O.2.2.12	a szervezet összehangolja a fiókkezelési folyamatokat a felhasználók jogviszonyának megszüntetési folyamataival
62.	2.3. Fiókkezelés – Automatizált fiókkezelés	K02.003_P[1]	a rendszerfiókok kezelésének támogatására használt automatizált mechanizmusok meghatározásra kerülnek
63.	2.3. Fiókkezelés – Automatizált fiókkezelés	K02.003_O.2.3	a rendszerfiókok kezelését a K02.003_P[1] által meghatározott automatizált mechanizmusok támogatják
64.	2.4. Fiókkezelés – Automatizált ideiglenes és vészhelyzeti fiók kezelés	K02.004_P[1]	a következő PARAMÉTER-ÉRTÉKEK egyike került kiválasztásra: {eltávolítás; letiltás}
65.		K02.004_P[2]	az ideiglenes vagy vészhelyzeti fiókok automatikus eltávolítására vagy letiltására szolgáló időtartam meghatározott
66.		K02.004_O.2.4	az ideiglenes vagy vészhelyzeti fiókok automatikusan eltávolításra vagy letiltásra kerülnek a K02.004_P[1] által meghatározottak szerint a K02.004_P[2] által meghatározott időtartam után
67.	2.5. Fiókkezelés – Fiókok letiltása	K02.005_P[1]	meghatározásra került az az időtartam, amelyen belül a fiókokat le kell tiltani
68.		K02.005_P[2]	az inaktivitás időtartama meghatározásra került, amelyet követően a fiókok letiltásra kerülnek
69.		K02.005_O.2.5.1	a fiókok letiltásra kerülnek a K02.005_P[1] által meghatározott időtartamot követően, ha a fiókok lejártak
70.		K02.005_O.2.5.2	a fiókok a K02.005_P[1] által meghatározott időtartamon belül letiltásra kerülnek, ha a fiókok már nem kapcsolódnak egy felhasználóhoz vagy személyhez
71.		K02.005_O.2.5.3	a fiókok a K02.005_P[1] által meghatározott időtartamon belül letiltásra kerülnek, ha a fiókok megsértik a szervezeti szabályzatot
72.		K02.005_O.2.5.4	a fiókok a K02.005_P[1] által meghatározott időtartamon belül letiltásra kerülnek, ha a K02.005_P[2] által meghatározott időtartamon belül inaktívak voltak
73.	2.6. Fiókkezelés – Automatikus naplózási műveletek	K02.006_O.2.6.1.(a)	a fiókok létrehozásával kapcsolatos tevékenységek automatikusan naplózásra kerülnek
74.		K02.006_O.2.6.1.(b)	a fiókok módosításával kapcsolatos tevékenységek automatikusan naplózásra kerülnek
75.		K02.006_O.2.6.1.(c)	a fiókok engedélyezésével kapcsolatos tevékenységek automatikusan naplózásra kerülnek
76.		K02.006_O.2.6.1.(d)	a fiókok letiltásával kapcsolatos tevékenységek automatikusan naplózásra kerülnek
77.		K02.006_O.2.6.1.(e)	a fiókok eltávolításával kapcsolatos tevékenységek automatikusan naplózásra kerülnek
78.	2.7. Fiókkezelés – Inaktivitásból fakadó kijelentkeztetés	K02.007_P[1]	meghatározásra került az az inaktivitás időtartama vagy időpont, amelyet követően a felhasználó kijelentkeztetése megtörténik
79.	2.7. Fiókkezelés – Inaktivitásból fakadó kijelentkeztetés	K02.007_O.2.7	a K02.007_P[1] által meghatározott időtartam leteltét követően vagy az adott időpontban a felhasználók kijelentkeztetése megtörténik
80.	2.12. Fiókkezelés – Használati feltételek	K02.012_P[1]	a rendszerfiókok esetében érvényesítendő körülmények, illetve használati feltételek meghatározásra kerültek
81.		K02.012_P[2]	a körülmények, illetve a használati feltételek érvényesítésének hatálya alá tartozó rendszerfiókok meghatározásra kerültek
82.		K02.012_O.2.12	megtörténik a K02.012_P[1] által meghatározott használati feltételek kikényszerítése a K02.012_P[2] által meghatározott rendszerfiókokra
83.	2.13. Fiókkezelés – Fiókok szokatlan használatának felügyelete	K02.013_P[1]	meghatározásra került az a megszokottól eltérő használat, amelynek vonatkozásában a rendszerfiókokat felügyelni kell
84.		K02.013_P[2]	a megszokottól eltérő használatot jelentő személyek vagy szerepkörök meghatározásra kerültek
85.		K02.013_O.2.13.1	a rendszerfiókok a K02.013_P[1] által meghatározottak szerint kerülnek ellenőrzésre
86.		K02.013_O.2.13.2	a rendszerfiókok megszokottól eltérő használatát jelentik a K02.013_P[2] által meghatározott személyeknek vagy szerepköröknek
87.	2.14. Fiókkezelés – Magas kockázatú személyek fiókjának letiltása	K02.014_P[1]	meghatározottak a magas kockázatot jelentő személyek
88.		K02.014_P[2]	meghatározott az az időtartam, amelyen belül a magas kockázatot jelentő személyek fiókjait le kell tiltani
89.		K02.014_P[3]	a fiókok letiltását eredményező jelentős kockázatok meghatározásra kerülnek
90.		K02.014_O.2.14	a K02.014_P[1] szerinti személyek felhasználói fiókjai a K02.014_P[3] szerinti események esetén K02.014_P[2] által meghatározott időtartamon belül letiltásra kerülnek
91.	2.15. Hozzáférési szabályok érvényesítése	K02.015_O.2.15	az információhoz és a rendszer erőforrásaihoz való logikai hozzáférés jóváhagyott jogosultságait a szabályzatokkal összhangban érvényesítik
92.	2.28. Információáramlási szabályok érvényesítése	K02.028_P[1]	a rendszeren belüli és a kapcsolódó rendszerek közötti információáramlás-szabályozási irányelvek meghatározásra kerültek
93.	2.28. Információáramlási szabályok érvényesítése	K02.028_O.2.28	a rendszeren belüli és a kapcsolódó rendszerek közötti információáramlás ellenőrzésére jóváhagyott engedélyek érvényesülnek a K02.028_P[1] által meghatározottak szerint
94.	2.32. Információáramlási szabályok érvényesítése – Titkosított információk áramlásának irányítása	K02.032_P[1]	meghatározásra kerültek azok az információáramlás-ellenőrzési mechanizmusok, amelyek megakadályozzák a titkosított információ megkerülését
95.		K02.032_P[2]	a szervezet a következő, a titkosított információ megkerülésére vonatkozó próbálkozástípusok valamelyikét kezeli: -az információk dekódolása, -a titkosított információáramlás blokkolása, -a titkosított információk átvitele
96.		K02.032_P[3]	a szervezet meghatározta azt az eljárást vagy módszert, amellyel megakadályozható, hogy az információáramlás-ellenőrzési mechanizmusokat kijátsszák
97.		K02.032_O.2.32	a titkosított információ a K02.028_P[1] által meghatározott információáramlás-ellenőrzési mechanizmusok megkerülésében a K02.032_P[2] által meghatározott próbálkozásokat a munkaszakasz megszakításával megakadályozza
98.	2.59. Felelősségek szétválasztása	K02.059_P[1]	meghatározásra kerültek azon személyek, akiknek K02.059_O.2.59.1 szerinti feladatellátást elkülönített módon kell ellátniuk
99.		K02.059_O.2.59.1	a K02.059_P[1] által meghatározott személyek feladatai meghatározásra és dokumentálásra kerültek
100.		K02.059_O.2.59.2	a feladatok szétválasztását támogató rendszer-hozzáférési jogosultságok meghatározásra kerültek
101.	2.60. Legkisebb jogosultság elve	K02.060_O.2.60	a legkisebb jogosultság elve érvényesül, amely csak olyan engedélyezett hozzáféréseket engedélyez a felhasználók vagy a felhasználók nevében eljáró folyamatok számára, amelyek szükségesek a kijelölt szervezeti feladatok elvégzéséhez
102.	2.61. Legkisebb jogosultság elve – Hozzáférés biztosítása a biztonsági funkciókhoz	K02.061_P[1]	a biztonsági funkciókhoz és a biztonság szempontjából fontos információkhoz való hozzáférési jogosultsággal rendelkező személyek és szerepkörök meghatározottak
103.		K02.061_P[2]	meghatározottak azok a biztonsági funkciók és a biztonság szempontjából releváns információk, amelyekhez az engedélyezett hozzáféréshez szükséges
104.		K02.061_O.2.61.2	a K02.061_P[2] által meghatározott biztonsági szempontból releváns információkhoz való hozzáférés csak a K02.061_P[1] által meghatározott személyek és szerepkörök számára engedélyezett
105.	2.62. Legkisebb jogosultság elve – Nem privilegizált hozzáférés biztosítása a nem biztonsági funkciókhoz	K02.062_P[1]	meghatározásra kerültek azok a biztonsági funkciók vagy biztonsági szempontból releváns információk, amelyekhez a K02.061_P[1] szerinti személyek hozzáférése csak privilegizált felhasználói fiókhoz kapcsoltan engedélyezett
106.		K02.062_O.2.62	a K02.062_P[1] által meghatározottak szerint a biztonsági funkciókhoz vagy a biztonság szempontjából fontos információkhoz csak privilegizált fiókon keresztül engedélyezett a hozzáférés
107.	2.63. Legkisebb jogosultság elve – Hálózati hozzáférés a privilegizált parancsokhoz	K02.063_P[1]	meghatározásra kerültek azok a privilegizált parancsok, amelyekhez történő hozzáférés csak kényszerű üzemeltetési okból engedélyezhető
108.		K02.063_P[2]	a privilegizált parancsokhoz való hálózati hozzáférést szükségessé tevő kényszerű üzemeltetési okok meghatározottak
109.		K02.063_O.2.63.1.(a)	a K02.063_P[1] által meghatározott privilegizált parancsokhoz való hálózati hozzáférés csak a K02.063_P[2] által meghatározott esetben engedélyezett
110.		K02.063_O.2.63.1.(b)	a privilegizált parancsokhoz való hálózati hozzáférés engedélyezésének indoklása dokumentálásra került a rendszerbiztonsági tervben
111.	2.65. Legkisebb jogosultság elve – Privilegizált fiókok	K02.065_P[1]	meghatározottak azok a személyek vagy szerepkörök, amelyekre az EIR privilegizált fiókjai alkalmazandóak
112.	2.65. Legkisebb jogosultság elve – Privilegizált fiókok	K02.065_O.2.65	a privilegizált fiókok használata kizárólag a K02.065_P[1] által meghatározott személyek vagy szerepkörök számára engedélyezett
113.	2.67. Legkisebb jogosultság elve – Felhasználói jogosultságok felülvizsgálata	K02.067_P[1]	a szerepkörökhöz vagy felhasználói csoportokhoz rendelt jogosultságok felülvizsgálatának gyakorisága meghatározott
114.		K02.067_P[2]	a jogosultságokhoz rendelt szerepkörök vagy felhasználói csoportok meghatározásra kerültek
115.		K02.067_O.2.67.1	a K02.067_P[2] által meghatározott szerepkörökhöz és felhasználói csoportokhoz rendelt jogosultságok a K02.067_P[1] által meghatározott gyakorisággal felülvizsgálatra kerülnek a jogosultságok szükségességének igazolása érdekében
116.		K02.067_O.2.67.2	a felülvizsgálat során lehetőség van a jogosultságok újraosztására vagy megszüntetése
117.	2.69. Legkisebb jogosultság elve – Privilegizált funkciók használatának naplózása	K02.069_O.2.69	a privilegizált funkciók végrehajtása naplózott
118.	2.70. Legkisebb jogosultság elve – Nem-privilegizált felhasználók korlátozása	K02.070_O.2.70	a nem privilegizált felhasználók nem hajthatnak végre privilegizált funkciókat
119.	2.71. Sikertelen bejelentkezési kísérletek	K02.071_P[1]	meghatározott az esetszám a felhasználó meghatározott időtartamon belül engedélyezett egymást követő sikertelen bejelentkezési kísérleteire
120.		K02.071_P[2]	meghatározott az az időtartam, amelyen belül a K02.071_P[1] szerinti sikertelen bejelentkezési kísérletek engedélyezettek
121.		K02.071_P[3]	a K02.071_P[2] időtartamon belül K02.071_P[1] számot meghaladó, egymást követő sikertelen bejelentkezési kísérlet esetén a szervezet a következő intézkedések valamelyikét alkalmazza: 1. K02.071_P[4] szerint meghatározott időtartamú fiókzárolás, 2. rendszergazda feloldást igénylő fiókzárolás, vagy 3. következő bejelentkezési lehetőség késleltetése a K02.071_P[5] algoritmus szerint
122.		K02.071_P[4]	meghatározott a fiókzárolás időtartama
123.		K02.071_P[5]	meghatározott a következő bejelentkezés késleltetésének algoritmusa
124.		K02.071_O.2.71.1	korlátozás érvényesül a felhasználó által a K02.071_P[2] által meghatározott időszak alatt K02.071_P[1] számot meghaladó egymást követő érvénytelen bejelentkezési kísérletek számának elérése után
125.		K02.071_O.2.71.2.(a)	a K02.071_P[3] által meghatározottak szerint korlátozás érvényesül
126.		K02.071_O.2.71.2.(b)	a K02.071_O.2.71.1 esetén a rendszergazda értesítése megtörténik
127.		K02.071_O.2.71.2.(c)	a K02.071_P[4] szerinti időtartam alatt a fiókzárolás fennáll, amelyet rendszergazda feloldhat
128.	2.75. A rendszerhasználat jelzése	K02.075_P[1]	meghatározott az a rendszerhasználati értesítés vagy banner, amelyet a rendszer a felhasználóknak a rendszerhez való hozzáférés engedélyezése előtt megjelenít
129.		K02.075_P[2]	nyilvánosan hozzáférhető EIR-ek esetén meghatározottak a rendszerhasználat feltételei, amelyeket az EIR a további hozzáférés engedélyezése előtt megjelenít
130.		K02.075_O.2.75.1	az EIR a használata előtt megjeleníti a felhasználóknak azt a K02.075_P[1] rendszerhasználati értesítést vagy üzenetet, amely biztonsági értesítést tartalmaz a szervezetre vonatkozó, hatályos jogszabályi előírásokban, irányelvekben, szabályozásokban, eljárásrendekben, szabványokban és útmutatókban meghatározottak szerint
131.		K02.075_O.2.75.1.1	a rendszerhasználati értesítés tartalmazza, hogy a felhasználók a szervezet EIR-ét használják
132.		K02.075_O.2.75.1.2	a rendszerhasználati értesítés tartalmazza, hogy az EIR használatát megfigyelhetik, rögzíthetik, naplózhatják
133.		K02.075_O.2.75.1.3	a rendszerhasználati értesítés tartalmazza, hogy a rendszer jogosulatlan használata tilos és büntető- vagy polgári jogi felelősséggel jár
134.		K02.075_O.2.75.1.4	a rendszerhasználati értesítés tartalmazza, hogy a rendszer használata az előbbiekben részletezett feltételek elfogadását jelenti
135.		K02.075_O.2.75.2	a rendszerhasználati értesítés a képernyőn marad, mindaddig, amíg a felhasználók nem fogadják el a használati feltételeket és nem tesznek egyértelmű lépéseket az EIR-be való bejelentkezésre vagy az EIR-hez való további hozzáférésre
136.		K02.075_O.2.75.3	nyilvánosan hozzáférhető EIR-ek esetében a nyilvánosan hozzáférhető EIR-hez való további hozzáférés engedélyezése előtt megjelenik a rendszerhasználati információ a K02.075_P[2] által meghatározottak szerint
137.		K02.075_O.2.75.3.1	nyilvánosan hozzáférhető rendszerek esetén a rendszerhasználati értesítés tartalmazza, hogy a felhasználók a szervezet EIR-ét használják
138.		K02.075_O.2.75.3.2	nyilvánosan hozzáférhető EIR-ek esetén a rendszerhasználati értesítés tartalmazza, hogy az EIR használatát megfigyelhetik, rögzíthetik, naplózhatják
139.		K02.075_O.2.75.3.3	nyilvánosan hozzáférhető EIR-ek esetén a rendszerhasználati értesítés tartalmazza, hogy az EIR jogosulatlan használata tilos és büntető- vagy polgári jogi felelősséggel jár
140.	2.81. Egyidejű munkaszakasz kezelés	K02.081_P[1]	meghatározottak azok a fiókok, illetve fióktípusok, amelyek esetében az egyidejű munkamenetek számát korlátozni kell
141.		K02.081_P[2]	az egyes fiókok, illetve fióktípusok számára engedélyezett egyidejű munkamenetek száma meghatározott
142.		K02.081_O.2.81	az egyidejű munkamenetek száma a K02.081_P[1] által meghatározott fiókok, illetve fiók típusok esetében a K02.081_P[2] által meghatározott számra korlátozódik
143.	2.82. Eszköz zárolása	K02.082_P[1]	a következő PARAMÉTER-ÉRTÉKEK közül egy vagy több került kiválasztásra: {a K02.082_P[2] által meghatározott inaktivitás után; a felhasználó erre irányuló lépése esetén}
144.		K02.082_P[2]	meghatározott az az inaktivitási időtartam, amelyet követően az eszköz zárolása automatikusan megtörténik
145.		K02.082_O.2.82.1	az EIR-hez való további hozzáférés megakadályozásra kerül a K02.082_P[1] által meghatározottak szerint
146.		K02.082_O.2.82.2	az eszköz zárolása mindaddig fennmarad, amíg a felhasználó a meghatározott azonosítási és hitelesítési eljárásokat végre nem hajtja
147.	2.83. Eszköz zárolása – Képernyőtakarás	K02.083_O.2.83	a K02.082_P[1] szerinti eszközzárolás esetén a kijelzőn lévő információk elrejtésre kerülnek
148.	2.84. A munkaszakasz lezárása	K02.084_P[1]	a munkamenet megszakítását igénylő feltételek vagy kiváltó események meghatározásra kerültek
149.	2.84. A munkaszakasz lezárása	K02.084_O.2.84	a felhasználói munkamenet automatikusan megszűnik a K02.084_P[1] által meghatározott feltételek vagy kiváltó események után
150.	2.88. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek	K02.088_P[1]	meghatározottak azok a felhasználói tevékenységek, amelyek – a szervezeti célokkal és üzleti funkciókkal összhangban – az EIR-ben azonosítás vagy hitelesítés nélkül is végrehajthatóak
151.		K02.088_O.2.88.1	az EIR-ben azonosítás és hitelesítés nélkül végrehajthatóak a K02.088_P[1] által meghatározott műveletek
152.		K02.088_O.2.88.2	az azonosítás és hitelesítés nélkül végrehajtható műveletek a rendszerbiztonsági tervben dokumentálásra kerültek
153.	2.100. Távoli hozzáférés	K02.100_O.2.100.1.(a)	az engedélyezett távoli hozzáférés minden egyes típusára vonatkozóan a használati korlátozások kidolgozottak és dokumentáltak
154.		K02.100_O.2.100.1.(b)	a konfigurációs vagy csatlakozási követelmények az engedélyezett távoli hozzáférés minden egyes típusára vonatkozóan kidolgozottak és dokumentáltak
155.		K02.100_O.2.100.1.(c)	az alkalmazási útmutatók az engedélyezett távoli hozzáférés minden egyes típusára vonatkozóan kidolgozottak és dokumentáltak
156.		K02.100_O.2.100.2	az engedélyezett távoli hozzáférés minden egyes típusa esetén engedélyezési eljárás történik az ilyen kapcsolatok lehetővé tételét megelőzően
157.	2.101. Távoli hozzáférés – Felügyelet és irányítás	K02.101_O.2.101.1.(a)	automatizált mechanizmusokat alkalmaznak a távoli hozzáférési módszerek felügyeletére
158.	2.101. Távoli hozzáférés – Felügyelet és irányítás	K02.101_O.2.101.1.(b)	automatizált mechanizmusokat alkalmaznak a távoli hozzáférési módszerek ellenőrzésére
159.	2.102. Távoli hozzáférés – Bizalmasság és sértetlenség védelme titkosítás által	K02.102_O.2.102	kriptográfiai mechanizmusokat alkalmaznak a távoli hozzáférési munkamenetek biztonságának és integritásának védelmére
160.	2.103. Távoli hozzáférés – Menedzselt hozzáférés-felügyeleti pontok	K02.103_O.2.103	a távoli hozzáférések engedélyezett és menedzselt hálózati hozzáférés-ellenőrző pontokon keresztül kerülnek irányításra
161.	2.104. Távoli hozzáférés – Privilegizált parancsok és hozzáférés	K02.104_P[1]	a privilegizált jogosultságot igénylő műveletekhez kapcsolódó követelmények meghatározottak
162.		K02.104_P[2]	a biztonságkritikus információkhoz kapcsolódó követelmények meghatározottak
163.		K02.104_O.2.104.1.(a)	a privilegizált műveletek távoli hozzáférésen keresztül történő végrehajtása csak olyan formátumban engedélyezett, amely értékelhető bizonyítékot szolgáltat
164.		K02.104_O.2.104.1.(b)	a biztonságkritikus információkhoz való hozzáférés távoli hozzáférésen keresztül csak olyan formátumban engedélyezett, amely értékelhető bizonyítékot szolgáltat
165.		K02.104_O.2.104.1.(c)	a privilegizált műveletek távoli hozzáférésen keresztül történő végrehajtása csak a K02.104_P[1] által meghatározottak szerint történik
166.		K02.104_O.2.104.1.(d)	a biztonságkritikus információkhoz való hozzáférés távoli hozzáférésen keresztül csak a K02.104_P[2] által meghatározottak szerint történik
167.		K02.104_O.2.104.2	a távoli hozzáférés szabályait a rendszerbiztonsági tervben dokumentálták
168.	2.108. Vezeték nélküli hozzáférés	K02.108_O.2.108.1.(a)	a használati korlátozások a vezeték nélküli hozzáférés minden egyes típusára vonatkozóan kidolgozottak és dokumentáltak
169.		K02.108_O.2.108.1.(b)	a konfigurációs követelmények a vezeték nélküli hozzáférés minden egyes típusára vonatkozóan kidolgozottak és dokumentáltak
170.		K02.108_O.2.108.1.(c)	a kapcsolódási követelmények a vezeték nélküli hozzáférés minden egyes típusára vonatkozóan kidolgozottak és dokumentáltak
171.		K02.108_O.2.108.2	a vezeték nélküli hozzáférés minden egyes típusa esetén engedélyezési eljárás történik az ilyen kapcsolatok lehetővé tételét megelőzően
172.	2.109. Vezeték nélküli hozzáférés – Hitelesítés és titkosítás	K02.109_P[1]	a következő PARAMÉTER-ÉRTÉKEK közül egy vagy több került kiválasztásra: {felhasználók; eszközök}
173.		K02.109_O.2.109.1.(a)	az EIR-hez való vezeték nélküli hozzáférés a K02.109_P[1] által meghatározott entitás esetén hitelesítéssel védett
174.		K02.109_O.2.109.1.(b)	az EIR-hez való vezeték nélküli hozzáférés titkosítással védett
175.	2.110. Vezeték nélküli hozzáférés – Vezeték nélküli hálózat letiltása	K02.110_O.2.110	a rendszerelemekbe ágyazott vezeték nélküli hálózati hozzáférések – ha azok használata nem szükséges – tiltottak
176.	2.111. Vezeték nélküli hozzáférés – Felhasználók általi konfiguráció korlátozása	K02.111_O.2.111.1.(a)	a vezeték nélküli hálózati funkciók önálló konﬁgurálására jogosult felhasználók azonosítottak
177.		K02.111_O.2.111.1.(b)	a vezeték nélküli hálózati funkciók önálló konﬁgurálására jogosult felhasználók engedélyezésre kerültek
178.	2.112. Vezeték nélküli hozzáférés – Antennák és átviteli teljesítmény	K02.112_O.2.112.1.(a)	a rádióantennákat úgy választják ki, hogy csökkentsék annak valószínűségét, hogy a vezeték nélküli hozzáférési pontok jeleit a szervezet által ellenőrzött határokon kívül is fogni lehessen
179.		K02.112_O.2.112.1.(b)	az átviteli teljesítményszintek úgy vannak kalibrálva, hogy csökkentsék annak valószínűségét, hogy a vezeték nélküli hozzáférési pontok jeleit a szervezet által ellenőrzött határokon kívül is fogni lehessen
180.	2.113. Mobil eszközök hozzáférés-ellenőrzése	K02.113_O.2.113.1.(a)	a szervezet által ellenőrzött mobil eszközök tekintetében a kapcsolódási követelmények kidolgozottak és dokumentáltak
181.		K02.113_O.2.113.1.(b)	a szervezet által ellenőrzött mobil eszközök tekintetében a konfigurációs követelmények kidolgozottak és dokumentáltak
182.		K02.113_O.2.113.1.(c)	a szervezet által ellenőrzött mobil eszközök tekintetében az alkalmazási útmutatók kidolgozottak és dokumentáltak
183.		K02.113_O.2.113.2	a szervezet által ellenőrzött mobil eszközök esetében engedélyezési eljárás történik a szervezet EIR-jeihez történő hozzáférést megelőzően
184.	2.114. Mobil eszközök hozzáférés-ellenőrzése – Teljes eszköz vagy konténer-alapú titkosítás	K02.114_P[1]	a következő PARAMÉTER-ÉRTÉKEK egyike került kiválasztásra: {teljes készüléktitkosítás; konténeralapú titkosítás}
185.		K02.114_P[2]	meghatározásra kerültek azok a mobil alkalmazások, amelyeken a titkosítást alkalmazni kell
186.		K02.114_O.2.114	a K02.114_P[2] által meghatározott mobil eszközökön lévő információk a K02.114_P[1] szerinti titkosítással védettek
187.	2.115. Külső elektronikus információs rendszerek használata	K02.115_P[1]	a következő PARAMÉTER-ÉRTÉKEK közül egy vagy több került kiválasztásra: {megállapítja az <K02.115_P[2] feltételeket>; azonosítja az <K02.115_P[3] ellenőrzéseket>}
188.		K02.115_P[2]	meghatározottak a külső rendszereket birtokló, üzemeltető, illetve karbantartó más szervezetekkel kialakított bizalmi kapcsolatokkal összhangban lévő feltételek
189.		K02.115_P[3]	meghatározottak a külső rendszereket birtokló, üzemeltető, illetve karbantartó más szervezetekkel kialakított bizalmi kapcsolatokkal összhangban lévő, a külső rendszereken végrehajtandó ellenőrzések
190.		K02.115_P[4]	meghatározottak azon külső rendszerek típusai, amelyek használata tiltott
191.		K02.115_O.2.115.1.1	a K02.115_P[1] által meghatározottak összhangban állnak a külső rendszereket birtokló, üzemeltető, illetve karbantartó más szervezetekkel kialakított bizalmi kapcsolatokkal, lehetővé téve az arra jogosult személyek számára a rendszerhez való hozzáférést külső rendszerekből
192.		K02.115_O.2.115.1.2	a K02.115_P[1] által meghatározottak összhangban állnak a külső rendszereket birtokló, üzemeltető, illetve karbantartó más szervezetekkel kialakított bizalmi kapcsolatokkal, lehetővé téve az arra jogosult személyek számára a szervezet által ellenőrzött információk feldolgozását, tárolását vagy továbbítását külső rendszerek használatával
193.		K02.115_O.2.115.2	a K02.115_P[4] által meghatározott típusú külső rendszerek használata tiltott és a tiltás érvényesül
194.	2.116. Külső rendszerek használata – Engedélyezett használat korlátozásai	K02.116_O.2.116.1 (a)	külső rendszer használata csak a külső rendszeren alkalmazott védelmi intézkedések ellenőrzését követően kerül engedélyezésre
195.		K02.116_O.2.116.1 (b)	külső rendszerhez való hozzáférés csak a külső rendszeren alkalmazott védelmi intézkedések ellenőrzését követően engedélyezhető
196.		K02.116_O.2.116.1 (c)	a szervezet által ellenőrzött információk feldolgozására, tárolására vagy továbbítására külső rendszer csak akkor alkalmazható, ha a külső rendszeren alkalmazott védelmi intézkedések ellenőrzése megtörtént
197.		K02.116_O.2.116.2 (a)	a szervezet a külső rendszert üzemeltető szervezettel rendszerkapcsolati vagy feldolgozási megállapodást kötött
198.		K02.116_O.2.116.2 (b)	a szervezet a rendszerkapcsolati vagy feldolgozási megállapodásokban foglaltakat betartja és betartatja
199.	2.117. Külső rendszerek használata – Hordozható adattárolók használatának korlátozása	K02.117_P[1]	a szervezet által ellenőrzött hordozható adattároló eszközök külső rendszereken történő, felhatalmazott személyek általi használatára vonatkozó korlátozások meghatározásra kerültek
200.		K02.117_O.2.117	a szervezet által ellenőrzött hordozható adattároló eszközök engedélyezett személyek általi használata külső rendszereken a K02.117_P[1] által meghatározottak szerint korlátozott
201.	2.121. Információmegosztás	K02.121_P[1]	meghatározásra kerültek azok az információmegosztási körülmények, amikor a felhasználónak mérlegelnie kell, hogy a megosztásban résztvevő partnerhez rendelt hozzáférési jogosultságok megfelelnek-e az információ hozzáférési és felhasználási korlátozásoknak
202.		K02.121_P[2]	olyan automatizált mechanizmusokat vagy kézi folyamatokat határoznak meg, amelyek segítik a felhasználókat az információmegosztási és együttműködési döntések meghozatalában
203.		K02.121_O.2.121.1	az engedélyezett felhasználók számára lehetővé válik annak megállapítása, hogy a partnerhez rendelt hozzáférési jogosultságok megfelelnek-e az információ hozzáférési és felhasználási korlátozásoknak a K02.121_P[1] által meghatározottak szerint
204.		K02.121_O.2.121.2	a K02.121_P[2] által meghatározottak szerinti automatizált mechanizmusokat alkalmaznak, hogy segítsék a felhasználókat az információmegosztási és együttműködési döntések meghozatalában
205.	2.124. Nyilvánosan elérhető tartalom	K02.124_P[1]	meghatározott, hogy milyen gyakorisággal kell felülvizsgálni a nyilvánosan hozzáférhető EIR tartalmát a nem nyilvános információk tekintetében
206.		K02.124_O.2.124.1	a szervezet kijelölte azokat a személyeket, akik jogosultak arra, hogy információkat tegyenek nyilvánosan hozzáférhetővé
207.		K02.124_O.2.124.2	az erre felhatalmazott személyek képzést kapnak annak biztosítására, hogy a nyilvánosan hozzáférhető információk között ne szerepeljenek nem nyilvános információk
208.		K02.124_O.2.124.3	K02.124_O.2.124.1 szerinti feljogosított személy áttekinti az információ tervezett tartalmát a nyilvánosan hozzáférhető rendszerbe történő közzététel előtt, annak érdekében, hogy biztosítsa, hogy az nem tartalmaz nem nyilvános információkat
209.		K02.124_O.2.124.4.(a)	a K02.124_P[1] szerint meghatározott gyakorisággal áttekintik a nyilvánosan hozzáférhető rendszer tartalmát a nem nyilvános információk szempontjából
210.		K02.124_O.2.124.4.(b)	eltávolítják a nem nyilvános információkat, ha felfedezik őket

3. Tudatosság és képzés

	A	B	C
1.	MKr. 2. melléklete szerinti követelménycsoport	Hivatkozási kód	Elemi követelmény
2.	3.1. Szabályzat és eljárásrendek	K03.001_P[1]	meghatározottak azok a személyek vagy szerepkörök, akikkel a tudatossági és képzési szabályzatot meg kell ismertetni
3.		K03.001_P[2]	meghatározottak azokat a személyek vagy szerepkörök, akikkel a tudatossági és képzési eljárásokat meg kell ismertetni
4.		K03.001_P[3]	a következő PARAMÉTER-ÉRTÉKEK közül egy vagy több került kiválasztásra: {szervezeti szint; küldetés/üzleti folyamat-szint; rendszerszint}
5.		K03.001_P[4]	a tudatossági és képzési szabályzat és eljárások irányítására egy meghatározott személy került kijelölésre
6.		K03.001_P[5]	a tudatossági és képzési szabályzat felülvizsgálatának és frissítésének gyakorisága meghatározásra került
7.		K03.001_P[6]	meghatározottak azokat az események, amelyek a tudatossági és képzési szabályzat felülvizsgálatát és aktualizálását teszik szükségessé
8.		K03.001_O.3.1.1.(a)	tudatossági és képzési szabályzatot dolgoztak ki és dokumentáltak
9.		K03.001_O.3.1.1.(b)	a tudatossági és képzési szabályzatot a K03.001_P[1] által meghatározott személyek vagy szerepkörök megismerték
10.		K03.001_O.3.1.1.(c)	a tudatossági és képzési szabályzat és a kapcsolódó hozzáférés-ellenőrzések végrehajtását elősegítő tudatossági és képzési eljárások kidolgozásra és dokumentálásra kerültek
11.		K03.001_O_3.1.1.(d)	a tudatossági és képzési eljárásokat a K03.001_P[2] által meghatározott személyekkel vagy szerepkörökkel megismertették
12.		K03.001_O_3.1.2	a K03.001_P[4] által meghatározott személy a tudatossági és képzési szabályzat és eljárások kidolgozását, dokumentálását, kiadását és megismertetésének irányítását elvégezte
13.		K03.001_O_3.1.3.(a)	a tudatossági és képzési szabályzatot, a tudatossági és képzési eljárásokat és eljárásrendeket felülvizsgálják és frissítik a K03.001_P[5] által meghatározott gyakorisággal
14.		K03.001_O_3.1.3.(b)	a tudatossági és képzési szabályzatot, a tudatossági és képzési eljárásokat és eljárásrendeket felülvizsgálják és frissítik a K03.001_P[6] által meghatározott eseményeket követően
15.		K03.001_O_3.1.1.1.1.(a)	a tudatossági és képzési szabályzat célja meghatározásra került a K03.001_P[3] által meghatározottak szerint
16.		K03.001_O_3.1.1.1.1.(b)	a tudatossági és képzési szabályzat hatóköre meghatározásra került a K03.001_P[3] által meghatározottak szerint
17.		K03.001_O_3.1.1.1.1.(c)	a tudatossági és képzési szabályzathoz kapcsolódó szerepkörök meghatározásra kerültek a K03.001_P[3] által meghatározottak szerint
18.		K03.001_O_3.1.1.1.1.(d)	a tudatossági és képzési szabályzathoz kapcsolódó felelősségek meghatározásra kerültek a K03.001_P[03] által meghatározottak szerint
19.		K03.001_O_3.1.1.1.1.(e)	a tudatossági és képzési szabályzathoz kapcsolódó vezetői elkötelezettség meghatározásra került a K03.001_P[3] által meghatározottak szerint
20.		K03.001_O_3.1.1.1.1.(f)	a tudatossági és képzési szabályzathoz kapcsolódó szervezeti egységek közötti együttműködés meghatározásra került a K03.001_P[3] által meghatározottak szerint
21.		K03.001_O_3.1.1.1.1.(g)	a tudatossági és képzési szabályzathoz kapcsolódó megfelelőségi kritériumok meghatározásra kerültek a K03.001_P[3] által meghatározottak szerint
22.		K03.001_O_3.1.1.1.2.	a K03.001_P[3] által meghatározott tudatossági és képzési szabályzat összhangban van a vonatkozó jogszabályokkal, irányelvekkel, szabályozásokkal, szabványokkal és ajánlásokkal
23.	3.2. Biztonságtudatossági képzés	K03.002_P[1]	meghatározták, hogy az alapképzést követően milyen gyakorisággal kell biztonsági ismeretekkel kapcsolatos képzést nyújtani a rendszerhasználóknak, beleértve a vezetőket, felsővezetőket és szerződéses partnereket
24.		K03.002_P[2]	meghatározták azokat az eseményeket, amelyek a felhasználók számára biztonsági ismeretek oktatását igénylik
25.		K03.002_P[3]	meghatározása kerültek a rendszerhasználók biztonságtudatosságának növelése érdekében alkalmazandó technikák
26.		K03.002_P[4]	meghatározták, hogy milyen gyakorisággal kell frissíteni a képzési és tudatossági tananyag tartalmát
27.		K03.002_P[5]	meghatározásra kerültek azok az események, amelyek a képzési és tudatossági tananyag tartalmának frissítését igénylik
28.		K03.002_O.3.2.1.1.(a)	az új felhasználók alapképzésének részeként a rendszer felhasználói – beleértve a vezetőket, felsővezetőket és szerződéses partnereket – biztonsági ismeretekkel kapcsolatos képzésben részesültek
29.		K03.002_O.3.2.1.1.(b)	a rendszer felhasználói – beleértve a vezetőket, a felsővezetőket és a szerződéses partnereket – a K03.002_P[1] által meghatározott gyakorisággal biztonsági ismeretekkel kapcsolatos képzésben részesülnek
30.		K03.002_O.3.2.1.2.	a rendszerhasználók – beleértve a vezetőket, felsővezetőket és szerződéses partnereket – biztonsági ismeretekkel kapcsolatos képzésben részesültek, ha a rendszerváltozások vagy a K03.002_P[2] által meghatározott események ezt megkövetelték
31.		K03.002_O.3.2.2	a K03.002_P[3] által meghatározott technikák kerülnek alkalmazásra a rendszer felhasználói biztonságtudatosságának növelésére
32.		K03.002_O.3.2.3.(a)	a képzési és tudatossági tananyag tartalma a K03.002_P[4] által meghatározott gyakorisággal kerül frissítésre
33.		K03.002_O.3.2.3.(b)	a képzési és tudatossági tananyag tartalma a K03.002_P[5] által meghatározott eseményeket követően frissítésre kerül
34.		K03.002_O.3.2.4	a belső vagy külső biztonsági eseményekből vagy jogsértésekből levont tanulságok beépítésre kerültek a képzési anyagokba, valamint az alkalmazott biztonságtudatossági technikákba
35.	3.4. Biztonságtudatossági képzés – Belső fenyegetés	K03.004_O.3.4.1.(a)	a belső fenyegetés potenciális jeleinek felismeréséről szóló felkészítő képzés megtartásra került
36.	3.4. Biztonságtudatossági képzés – Belső fenyegetés	K03.004_O.3.4.1.(b)	a belső fenyegetés potenciális jeleinek jelentésére vonatkozó felkészítő képzés megtartásra került
37.	3.5. Biztonságtudatossági képzés – Pszichológiai befolyásolás és információszerzés	K03.005_O.3.5.1.(a)	a pszichológiai manipulációs tevékenység potenciális és tényleges eseteinek felismerésére vonatkozó felkészítő képzés megtartásra került
38.		K03.005_O.3.5.1.(b)	a pszichológiai manipulációs tevékenység potenciális és tényleges eseteinek jelentésére vonatkozó felkészítő képzés megtartásra került
39.		K03.005_O.3.5.1.(c)	az adatgyűjtés potenciális és tényleges eseteinek felismerésére vonatkozó felkészítő képzés megtartásra került
40.		K03.005_O.3.5.1.(d)	az adatgyűjtés potenciális és tényleges eseteinek jelentésére vonatkozó felkészítő képzés megtartásra került
41.	3.9. Szerepkör alapú biztonsági képzés	K03.009_P[1]	a szerepek és felelősségi körök meghatározásra kerültek a szerepkör alapú biztonsági képzéshez
42.		K03.009_P[2]	meghatározták, hogy az alapképzést követően milyen gyakorisággal kell szerepkör alapú biztonsági képzést tartani a kijelölt személyzetnek
43.		K03.009_P[3]	a szerepkör alapú képzési tartalom frissítésének gyakorisága meghatározott
44.		K03.009_P[4]	meghatározásra kerültek azok az események, amelyek a szerepkör-alapú képzési tartalom frissítését igénylik
45.		K03.009_O.3.9.1.1.(a)	a K03.009_P[1] által meghatározott szerepek és felelősségi körök szerepkör alapú biztonsági képzésben részesültek, mielőtt a rendszerhez, információhoz való hozzáférést vagy a kijelölt feladatok végrehajtásához szükséges hozzáféréseket megkapták
46.		K03.009_O.3.9.1.1.(b)	a K03.009_P[1] szerinti szerepek és felelősségi körök és a K03.009_P[2] által meghatározott gyakoriság szerinti szerepkör alapú biztonsági képzés megtartásra került
47.		K03.009_O.3.9.1.2	a kijelölt biztonsági szerepkörökkel és felelősségi körökkel rendelkező személyzet számára szerepalapú biztonsági képzést biztosítanak, ha a rendszerváltozások ezt megkövetelik
48.		K03.009_O.3.9.2.(a)	a szerepkör alapú képzési tartalom frissítése a K03.009_P[3] által meghatározott gyakorisággal történik
49.		K03.009_O.3.9.2.(b)	a szerepkör alapú képzési tartalom a K03.009_P[4] által meghatározott eseményeket követően frissül
50.		K03.009_O.3.9.3	a belső vagy külső biztonsági eseményekből vagy jogsértésekből levont tanulságok beépítésre kerülnek a szerepkör alapú biztonsági képzésbe
51.	3.13. A biztonsági képzésre vonatkozó dokumentációk	K03.013_P[1]	meghatározott az egyéni képzési dokumentumok megőrzésének időtartama
52.		K03.013_O.3.13.1.(a)	az információbiztonsági képzési tevékenységek, beleértve a biztonsági tudatosságra vonatkozó képzéseket és a konkrét szerepkörökön alapuló biztonsági képzéseket dokumentálták
53.		K03.013_O.3.13.1.(b)	az információbiztonsági képzési tevékenységeket, beleértve a biztonsági tudatosságra vonatkozó képzéseket és a konkrét szerepkörökön alapuló biztonsági képzéseket nyomon követik
54.		K03.013_O.3.13.2	az egyéni képzésről készült dokumentumokat a K03.013_P[1] által meghatározott időtartamig megőrzik

Másolás a vágólapra
Nyomtatás

Hatályos
Már nem hatályos
Még nem hatályos
Módosulni fog
Időállapotok
Adott napon hatályos
Közlönyállapot
Indokolás

Jelmagyarázat Lap tetejére

Műveletek