Főoldal/Kiberbiztonsági Kisokos/Biztonsági szabályzatok
// KIBERBIZTONSÁGI KISOKOS · 04. MODUL

Biztonsági szabályzatok és kormányzás

C · I · A kb. 6 perc olvasás

A jó technika önmagában kevés: ha nincs leírva, ki mit tehet, és nincs, aki ezt betartatja, akkor nincs is mire hivatkozni egy incidensnél vagy egy auditnál. Ez a modul arról szól, mik a biztonsági szabályzatok, mit jelent a governance, és hogyan állíthatsz össze néhány lépésben egy működő minimum-szabályzatkészletet — laikus analógiától a policy–standard–procedure hierarchiáig.

Az öt lépés → Gyors önellenőrzés Vissza a Kisokoshoz
1 · Laikusan

Mi az a biztonsági szabályzat?

A biztonsági szabályzat egy leírt, jóváhagyott szabálygyűjtemény arról, hogyan kell a cégnél biztonságosan dolgozni: ki mit tehet az adatokkal és rendszerekkel, és mit nem. A governanceGovernance (kormányzás): az a keret, amely meghatározza, ki felelős a szabályokért, hogyan hagyják jóvá, tartatják be és kérik számon őket. Nem maga a szabály, hanem ami életben tartja. (kormányzás) pedig az a keret, amely megmondja, ki felelős ezekért a szabályokért, és hogyan számonkérhető a betartásuk.

Képzeld el közlekedési táblákkal A szabályzat olyan, mint egy közlekedési tábla: leírja, ki merre mehet és milyen sebességgel, hogy ne ütközzetek össze. Tábla nélkül mindenki a saját feje után megy — előbb-utóbb baleset lesz. És ahogy a rendőr a baleset után először a táblát és a forgalmi rendet nézi, úgy az auditor is azt kéri elő először: a leírt, jóváhagyott, betartatott szabályt. Ha nincs leírva, a gyakorlatban olyan, mintha nem is létezne.

Egy működő szervezetnél jellemzően ezek a leggyakoribb szabályzatok:

  • Információbiztonsági politika — a legfőbb, keretet adó dokumentum: mit véd a cég és miért.
  • Elfogadható használat (AUPAUP (Acceptable Use Policy): elfogadható használati szabályzat — mit szabad és mit tilos a céges eszközökkel, hálózattal és fiókokkal tenni.) — mit szabad és mit tilos a céges eszközökkel, e-maillel, hálózattal.
  • Hozzáférési szabályzat — ki kap hozzáférést mihez, és hogyan vonják meg kilépéskor.
  • Incidens-eljárásrend — mit kell tenni, kit kell értesíteni, ha baj van.
  • Mentési szabályzat — mit, milyen gyakran mentenek, és hogyan állítják helyre.
2 · A gyakorlatban

Miért NIS2-kötelező a szabályzat?

A NIS2-t átültető magyar Kiberbiztonsági törvény kockázatarányos biztonsági intézkedéseket vár el — és ezek dokumentált, betartatott szabályzatok nélkül nem bizonyíthatók. A szabályzat tehát nem formaság: ez az a bizonyíték, amit egy audit először kér.

Mi ez?

Leírt, jóváhagyott szabályok arról, hogyan kezeli a cég az információbiztonsági kockázatokat — a hozzáférés-kezeléstől az incidenskezelésig. A governance pedig kijelöli a felelősöket és a számonkérés rendjét.

Miért NIS2-kötelező?

A NIS2 kifejezetten vezetői, testületi felelősséget ír elő a kockázatkezelési politikák jóváhagyásáért és felügyeletéért — ez tényszerűen kimondható. A végrehajtás delegálható, de a vezetői felelősség átruházhatatlan.

Hogyan segít?

A leírt szabály egyértelművé teszi az elvárást, csökkenti az emberi hibát, és incidens vagy audit esetén bizonyítja, hogy a cég felelősen járt el. Kapaszkodót ad a dolgozóknak is — nem kell minden helyzetben találgatniuk.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan építsd fel öt lépésben?

Nem kell egyszerre tucatnyi dokumentum. Egy működő szabályzatkészlet öt lépésben felépíthető — a felelős kijelölésétől az éves felülvizsgálatig.

01

Jelölj ki egy felelőst

Nevezz meg egy konkrét személyt, aki a szabályzatok gazdája — és a felügyelő vezetőt is. A feladat delegálható, a vezetői felelősség nem: a vezetésnek tudnia kell, hogy ez az ő felelőssége.

02

Állítsd össze a minimum-szabályzatkészletet

Kezdd a legfontosabbakkal: információbiztonsági politika, elfogadható használat (AUP), hozzáférési szabályzat, incidens-eljárásrend, mentési szabályzat. Sablonokból indulva gyorsabb a kezdés — de minden szabályt a saját rendszereidre és működésedre kell szabni, a kitöltetlen sablon önmagában nem szabályzat.

03

Hagyd jóvá, dátumozd, verziózd

A szabályzat attól él, hogy a vezetés formálisan jóváhagyta. Minden dokumentumon legyen jóváhagyási dátum, verziószám és felelős — enélkül az auditnál nem számít bizonyítéknak.

04

Ismertesd meg a dolgozókkal

A szabály csak akkor betartatott, ha mindenki ismeri. Tartsd meg az oktatást, kérj visszaigazolt tudomásulvételt, és tedd a szabályzatokat könnyen elérhetővé. A fiókban porosodó dokumentum nem véd meg senkit.

05

Vizsgáld felül évente

Évente legalább egyszer — és minden jelentős változáskor (új rendszer, incidens, szervezeti átalakulás) — nézd át és frissítsd a szabályzatokat. A régi verziókat őrizd meg: ez mutatja, hogy a kormányzás folyamatosan működik.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak az IT- vagy megfelelőségi felelősnek szólnak — a laikus olvasó nyugodtan átugorhatja, a szabályzatok megértéséhez nem szükséges.

Policy → standard → procedure → guideline — a dokumentum-hierarchia
A szabályzati dokumentumoknak van egy bevett rétegződése. A policy (politika) a legfelső, elvi szint: mit akarunk elérni és miért (pl. „minden érzékeny adatot védeni kell"). A standard (szabvány/előírás) a kötelező, mérhető követelmény: milyen konkrét elvárásnak kell megfelelni (pl. „a jelszó legalább 12 karakter, MFA kötelező"). A procedure (eljárásrend) a lépésről lépésre leírt hogyan (pl. „új belépő fiókját így hozzuk létre"). A guideline (irányelv) pedig ajánlás, nem kötelező — segít, ha nincs pontos előírás. A négy réteg együtt adja a teljes képet az elvtől a napi gyakorlatig.
ISO 27001 Annex A — referencia-keret, nem kötelezettség
Az ISO 27001ISO 27001: nemzetközi szabvány az információbiztonság irányítási rendszerére (ISMS). Az Annex A egy kontrollkatalógus, amely rendszerezi a tipikus biztonsági intézkedéseket. nemzetközi szabvány az információbiztonság irányítási rendszerére, és az Annex A egy kontrollkatalógus, amely rendszerezi a tipikus szabályzatokat és intézkedéseket. Hasznos referencia-keret ahhoz, hogy ne felejts ki fontos területet — de a NIS2 nem írja elő az ISO 27001-tanúsítást. A szabvány segít rendszerezni a munkát; a jogszabályi kötelezettség a kockázatarányos intézkedések megléte és bizonyíthatósága, nem maga a tanúsítvány.
Bizonyíték és audit-trail — a dokumentáció mint védőháló
Egy auditnál vagy egy incidens kivizsgálásánál nem az számít, amit mondasz, hanem amit bizonyítani tudsz. Ezért fontos a dokumentált nyom (audit-trail): jóváhagyási dátumok, verziótörténet, az oktatás visszaigazolásai, a hozzáférés-felülvizsgálatok jegyzőkönyvei, az incidensek naplója. A jól vezetett dokumentáció megmutatja, hogy a szabály nemcsak papíron létezik, hanem élő: rendszeresen alkalmazzák és felülvizsgálják. Ez a különbség a „van szabályzatunk" és a „bizonyíthatóan betartatjuk a szabályzatunkat" között.
2 · A gyakorlatban

Gyors önellenőrzés

Két egyszerű kérdés. Ha bármelyikre nem tudsz magabiztos igent mondani, ott érdemes kezdened.

Megvan a szabályzati alap?

  • ✓ Van leírt, dátumozott információbiztonsági szabályzatotok, amelyet a vezetés jóváhagyott?
  • ✓ Tudja a vezetőség, hogy a kiberbiztonsági szabályzatok az ő felelőssége — és nem ruházható át?
1 · Laikusan

Gyakori tévhit

Tévhit

„A szabályzat csak papír a fióknak — letöltjük, lefűzzük, kész."

A le nem szabott, jóvá nem hagyott, meg nem ismertetett szabályzat valóban csak papír. De a betartatott szabályzat az audit és egy incidens kivizsgálása során a bizonyíték: ez mutatja meg, hogy a cég felelősen járt el. A különbség nem a dokumentum létében van, hanem abban, hogy él-e: jóváhagyták, megismertették, alkalmazzák és felülvizsgálják.

Gyakori kérdések

GYIK a szabályzatokról

A szabályzat (policy) a leírt szabály: ki mit tehet és mit nem. A governance (kormányzás) ennél tágabb: arról szól, ki felelős a szabályokért, hogyan hagyják jóvá, tartatják be és kérik számon őket. A szabályzat a dokumentum, a governance a keret, amely életben tartja.
Igen. A NIS2 kifejezetten a vezető testület felelősségévé teszi a kockázatkezelési intézkedések — köztük a szabályzatok — jóváhagyását és felügyeletét. A végrehajtás delegálható egy felelősre vagy szolgáltatóra, de a felelősség nem ruházható át. Ezért fontos, hogy a vezetés ismerje és aláírja a szabályzatokat.
A sablon jó kiindulópont, de önmagában nem elég. A le nem szabott, jóvá nem hagyott és be nem tartatott sablon az auditnál és egy incidensnél nem ér semmit. Sablonokból indulva töltsd ki a saját rendszereidre és eljárásaidra, hagyasd jóvá a vezetéssel, majd ismertesd meg a dolgozókkal.
Nem. Az ISO 27001 és Annex A kontrolljai hasznos referencia-keretet adnak ahhoz, milyen szabályzatok kellenek, de a NIS2 nem írja elő a tanúsítást. A szabvány segít rendszerezni a munkát; a jogszabályi kötelezettség nem a tanúsítvány, hanem a kockázatarányos intézkedések megléte és bizonyíthatósága.
← Előző modul Hálózati szegmentáció Következő modul → Megfelelőség, bizonyíték, audit
A CIA triász Legkisebb jogosultság Fogalomtár
Következő lépés

A szabályzat a keret — hol állsz technikailag?

A szabályzatokat magadnak kell bevezetned és betartatnod — de a technikai oldalt (titkosítás, biztonsági fejlécek, elérhetőség) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont ahhoz, hogy lásd, mit kell szabályoznod.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz
Indíts ingyenes auditot →