Information security policy

A Régens Zrt. szolgáltatásnyújtása során információs értéket termel, használ fel és értékesít. A kezelt adatok és információk összessége kiemelt értéket képviselő vagyonelem a Cég számára. Mai világunkban az információ értéke folyamatosan nő, és ezzel együtt jár a különböző információk megszerzésére irányuló támadások megjelenése is. 

A Cég vezetősége kiemelt feladatnak tartja az elektronikus információs rendszerek és a bennük tárolt adatok, információk védelmét, és elkötelezett abban, hogy folyamatosan biztosítsa a lehető legmodernebb technológiák felhasználását, a szükséges információbiztonsági folyamatokat és erőforrásokat.

A biztonságtudatos működés támogatása és megerősítése érdekében működtetjük az ISO 27001:2023 szabványi követelményekre épülő információbiztonság-irányítási rendszerünket, amelyet az alábbi alapelvek figyelembevételével működtetünk és fejlesztünk.  

BIZALMASSÁG: az információs rendszerekben tárolt adatokat és információkat csak az arra jogosultak és jogosultsági szintjük szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásukról. 

SÉRTETLENSÉG: a tárolt adat tartalma és tulajdonságai az elvárttal megegyeznek, az elvárt forrásból származnak (hiteles), a származás ellenőrizhető, megállapítható (letagadhatatlan), illetve az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.

RENDELKEZÉSRE ÁLLÁS: az információs rendszerek az arra jogosult személyek számára elérhetőek és az abban kezelt adatok felhasználhatók. 

Ezen alapelvek alapján úgy kell kialakítani az informatikai rendszer védelmét, hogy megvalósuljon.

A VÉDELEM TELJESKÖRŰSÉGE az összes rendszerelemre, a rendszerek architektúrájának összes rétegére mind az infrastruktúra, mind az alkalmazások szintén érvényesíteni kell.

A VÉDELEM ZÁRTSÁGA: az összes valószínűsíthető fenyegetés elleni megelőző védelmi intézkedés végrehajtása megtörténik és azok összességükben szabályozott és szerves egészet alkotnak.

A VÉDELEM KOCKÁZATARÁNYOSSÁGA: a védelem mértéke és költségei a felmért kockázatokkal arányosak. Cél a szükséges és elégséges védelmi költséggel elért maximális védelmi képesség.

A VÉDELEM FOLYTONOSSÁGA: a kialakított védelmi intézkedések az időben állandóan változó biztonsági környezet és viszonyok mellett is megszakítás nélkül fennállnak a rendszer teljes életciklusa alatt. 

Logikai, fizikai és adminisztratív védelmi intézkedések bevezetésével biztosítjuk az alapelvekre épülő mindenkori fenyegetések kockázataival arányos, zárt, teljeskörű és folyamatos, a rendszerek teljes életciklusára kiterjedő védelmét. Dokumentált intézkedéseink, eljárásaink része a működtetett minőségirányítási rendszerünk dokumentációjának, a szabványi felülvizsgálati eljárásoknak.   

A biztonságtudatos működés érdekében a leglényegesebb témaspecifikus intézkedéseink az alábbiak: 

KOCKÁZATELEMZÉS, amelynek segítségével feltárjuk az informatikai rendszer sebezhetőségeit és meghatározzuk a feltárt kockázatok csökkentéséhez a védelmi intézkedéseket. Ehhez figyelembe vesszük az ISO 27001:2023 szabvány információbiztonsági intézkedéseit.
A Régens Zrt. igyekszik a kockázatot minimalizálni, de minden munkavállalóban tudatosítja, hogy teljes körű védelem és biztonság nincsen, és ezzel összefüggésben a maradvány kockázatokat tudatosan vállalja.

HOZZÁFÉRÉS-FELÜGYELET, amely biztosítja az információkhoz és egyéb kapcsolódó vagyonelemekhez való hozzáférési jogosultságok rendszeres átvizsgálását, szükség szerinti módosítását. Ehhez kapcsolódóan nyomon követjük és fejlesztjük az eszköz- és jogosultságkiadás gyakorlatát, a biztonságos hitelesítési technológiák alkalmazását az információk megkívánt védelmi szintjének megfelelően.

A felhasználói jogosultságok természetes személyhez kötöttek és nem átruházhatóak. Az információbiztonsági incidensek esetében a felelősség a jogosultsággal bíró személyhez kötődik. A Régens Zrt. rosszhiszemű felhasználásnak tekinti, ha a felhasználó jogosultságát meghaladó műveleteket szándékosan kezdeményez, illetve jogosultságát megkísérli módosítani. 

INFORMÁCIÓBIZTONSÁGI OKTATÁSOKkal törekszünk munkatársaink biztonságtudatosságát fejleszteni, fenyegetettség felismerő képességüket növelni. Hangsúlyt helyezünk arra, hogy információbiztonsági politika és eljárásaink alapján rendszeresen frissítsük és visszakérdezzük ismereteiket munkakörükhöz kapcsolódóan. 

A Régens Zrt. a felelősségeket az információbiztonság területén hangsúlyozottan elhatárolja, és az egyes szervezeti szerepkörökhöz köti.

BIZTONSÁGI MONITORING RENDSZER működtetésével időben kell észlelnünk a zavarokat, illetéktelen behatolást és egyéb információbiztonsági eseményeket. Az üzletmenet folytonosságának és helyreállításának biztosítása érdekében kialakított tervet a változó körülményeknek megfelelően tartjuk karban. 
Célunk, hogy a szolgáltató rendszerek üzemzavarait ne a felhasználók, hanem automatikus szolgáltatás monitorozó komponensek jelezzék.

ÜGYFÉLKÖZPONTÚSÁG keretében törekednünk kell arra, hogy az ügyfelektől megkövetelt információbiztonsági intézkedéseket számonkérjük és a velük való kommunikáció során az információkra vonatkozó alapelveket betartsuk és betartassuk. Az információbiztonságot az üzleti igények jövőbeni változásai során is szem előtt kell tartanunk.

VONATKOZÓ TÖRVÉNYI ÉS IRÁNYADÓ SZABVÁNYOKNAK VALÓ MEGFELELÉS, különös tekintettel a személyes adatok védelme érdekében rendszeresen figyelemmel kísérjük és ellenőrizzük a követelmények teljesítését felülvizsgálatok és vezetőségi átvizsgálások keretében.

Fontosnak tartjuk, hogy olyan biztonsági rendszert működtessünk, amely mind a személyes, mind a céges adatok és információk, valamint ügyfeleinket érintő információk lehető legmagasabb védelmi szintjét képes fenntartani.

Ezen információbiztonsági politika hatálya kiterjed a Régens Zrt. valamennyi munkatársára, alvállalkozójára, folyamatára, projektjére és szervezeti egységére, és magába foglalja az adathordozókat, alkalmazásokat, szoftver és hardver elemeket, a környezeti infrastruktúra elemeit, a papír alapú dokumentumokat és minden olyan eljárást, amely hatással lehet a Régens Zrt. adatvagyonára. 

Elvárjuk, hogy minden érintett munkatársunk és a munkavégzésre irányuló egyéb jogviszonyban álló személy az aktuális politikában leírtaknak megfelelően járjon el.
 

 

Budapest, 2024. június 10.

Moravcsik Ákos
Vezérigazgató

Varga Szabolcs
Információbiztonsági felelős