Dabas és Környéke Vízügyi Kft

Dabas és Környéke Vízügyi Kft H-2370 Dabas, Széchenyi u. 3. Tel: 29/360-321; 29/360-323 Tel./fax: 29/360-323 E-mail: info@dakov.hu kiadás /változat 1.0 jóváhagyta, hatályba léptette: Hatályba lépés dátuma: 2015. 04.01 Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!

Oldalak száma: 2/23 Verzió Készítette /módosította Módosítás Hatályba lépés dátuma File neve 1.0 DAKOV KFT. 2015.04.01 jogos.pdf. Hatályba helyezve: 2015. 04.01. Oldalszám: 2 / 23

Oldalak száma: 3/23 Tartalomjegyzék 1. A jelen szabályozás dokumentuma... 5 1.1 A jelen szabályzat célja... 5 1.2 A szabályzat hatálya... 5 1.2.1 Személyi hatálya... 5 1.2.2 Tárgyi hatálya... 5 1.2.3 Területi hatálya... 5 1.2.4 Időbeli hatálya... 6 1.3 A szabályzat minősítése... 6 1.4 A szabályzat felülvizsgálata... 6 2 Az informatikai rendszerekhez történő hozzáférések kezelésének folyamatai... 6 2.1 Jogosultsági rendszer... 6 2.1.1 Jogosultsági rendszer, munkakör, egyedi jog... 6 2.1.2 Munkakör... 7 2.1.3 Szervezeti egység... 7 2.1.4 Munkacsoport, projekt csoport... 7 2.1.5 Adatgazda... 8 2.1.6 Munkakör-szerepkör összerendelés... 8 2.2 Jogosultság igénylése... 8 2.2.1 Jogosultság igénylés alanya... 8 2.2.2 Jogosultság igénylés... 8 2.2.3 A beállított jog átvétele... 9 2.2.4 Felhasználói azonosító képzése... 10 2.2.5 Alapjogok... 10 2.2.6 Személyek státuszának változása... 11 2.2.7 Egyedi jogosultság igénylése... 11 2.3 Jogosultságok jóváhagyása és nyilvántartása... 12 2.3.1 Jogosultsági igény elutasítása... 13 2.4 Jogosultságok beállítása... 13 Hatályba helyezve: 2015. 04.01. Oldalszám: 3 / 23

Oldalak száma: 4/23 2.5 Jogosultságok ellenőrzése... 13 2.6 Jogosultságok törlése, felfüggesztése... 14 2.6.1 Szervezeti átalakítás... 14 2.6.2 Azonnali felfüggesztés... 15 2.7 Változtatás a munkakör-szerepkör listában... 15 2.8 Elfelejtett jelszó cseréje... 16 2.9 Vészhelyzeti jogosultságkezelés... 16 2.10 Kiemelt jogosultságok kezelése... 17 2.10.1 Telepítéskor létrehozott, kiemelt jogú felhasználói fiók (objektum) kezelése... 17 2.10.2 Kiemelt jogosultság objektumok létrehozása... 17 2.10.3 A kiemelt jogosultság objektumhoz kapcsolódó felhasználói fiók létrehozása, használata, törlése... 17 2.10.4 Karbantartói jogosultság használata... 18 2.10.5 A borítékolt kiemelt jogok használatának szabályai... 19 2.10.6 Kiemelt jogok ellenőrzése... 19 2.10.7 Kiemelt jogok jogosulatlan használata... 19 2.10.8 Jogosulatlan használat ellenőrzése... 20 2.11 Kivételek kezelése... 20 3 Mellékletek... 21 3.1 1.Melléklet Adatgazdák listája nyomtatvány... 21 3.2 2.Melléklet Munkakör-szerepkör táblázat felépítése... 22 3.3 3.Melléklet Kiemelt jogok listája... 23 Hatályba helyezve: 2015. 04.01. Oldalszám: 4 / 23

Oldalak száma: 5/23 1. A jelen szabályozás dokumentuma 1.1 A jelen szabályzat célja A Dabas és Környéke Vízügyi Szolgáltató Kft. (a továbbiakban: Társaság) a belső szabályozások magas szintű kezelése és menedzselése, a hazai és nemzetközi minőségirányítási sztenderdeknek és jogszabályoknak valamint a harmadik féltől igénybe vett, általuk végzett szolgáltatások átlátható kezelése érdekében elkészítette jelen Jogosultságkezelési szabályzatát. A Társaság célja, hogy szabályozásai lefedjék a legfontosabb tevékenységeket, átláthatók és betarthatók valamint folyamatosan aktualizáltak és konzisztensek legyenek. A jelen szabályozás célja, hogy meghatározza a Társaság információs rendszereihez történő hozzáférések szabályait, a jogosultságok igénylésének, engedélyezésének, beállításának és nyilvántartásának feladatait. 1.2 A szabályzat hatálya 1.2.1 Személyi hatálya A szabályzat szervezeti hatálya kiterjed a: Társaság minden munkatársára, Társaság szerződéses viszonyban tevékenykedő partnereire. 1.2.2 Tárgyi hatálya A szabályzat tárgyi hatálya kiterjed a Társaság: informatikai eszközeire, alkalmazására, operációs rendszereire, minden információjára és adataira, 1.2.3 Területi hatálya A szabályzat területi hatálya kiterjed a tárgyi hatálya alá tartozó informatikai erőforrások üzemelési helyszíneire: a Társaság telephelyeire a külső szolgáltatók által, a Társaságnak nyújtott szolgáltatásban érintett helyszíneire Hatályba helyezve: 2015. 04.01. Oldalszám: 5 / 23

Oldalak száma: 6/23 1.2.4 Időbeli hatálya A jelen utasítás az aláírás napját követő első munkanapon lép hatályba, dokumentumba foglalt feladatok és szabályok ezen időponttól alkalmazandók. A szabályzat visszavonásig érvényes. 1.3 A szabályzat minősítése A jelen szabályozás belső nyilvános dokumentum, amelyet a szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag az Ügyvezető igazgató előzetes írásos engedélye alapján ismerhet meg. Jelen szabályzat személyi hatálya alá tartozóknak a szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a szabályzatból információt nem adhat ki. 1.4 A szabályzat felülvizsgálata Az utasítást évi rendszerességgel felül kell vizsgálni. Az utasítás soron kívüli felülvizsgálatát el kell végezni az alábbi események bármelyikének bekövetkezésekor: az információbiztonságot is érintő jogszabályváltozás, amennyiben annak hatálya a Társaságra és jelen szabályzat tartalmára is kiterjed; az információkezelést és - feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében beállt lényeges változás, amennyiben az érinti a hozzáférési jogosultságok kezelését. A fenti eseményekről a felelős területeknek tájékoztatniuk kell az Informatika Biztonsági Felelőst (a továbbiakban IBF). A szabályzat felülvizsgálata az IBF feladata. Az utasítás módosítását bármelyik érintett szervezeti egység is kezdeményezheti. A módosítási kezdeményezést indoklással és a módosítási javaslattal együtt az IBF részére kell írásban benyújtani. A javaslat elfogadásáról és a felülvizsgálat ütemezéséről az IBF dönt. 2 Az informatikai rendszerekhez történő hozzáférések kezelésének folyamatai 2.1 Jogosultsági rendszer 2.1.1 Jogosultsági rendszer, munkakör, egyedi jog Egy munkatársat (alkalmazottat, külsős munkavállalót, szerződéses partner alkalmazottját) egy adott munkakörbe tartozó feladatok ellátására vesz fel, vagy szerződtet a Társaság, ezért a Társaság informatikai eszközeihez a logikai hozzáférést Hatályba helyezve: 2015. 04.01. Oldalszám: 6 / 23

Oldalak száma: 7/23 (a jogosultságot), csoportokba rendezetten, munkakörhöz, szervezethez és beosztáshoz kötött módon csoportosítja és tartja nyilván. Az alapjogok, a jogosultsági csoportok és a beállított jogok nyilvántartását egy erre kialakított jogosultság nyilvántartásban (a továbbiakban Nyilvántartás ), egy EXCEL táblázatban (jogosultsag_nyilvantartas_verzió_dátum.xlsx) kell nyilvántartani. A táblázat folyamatos karbantartása az IBF feladata. A Nyilvántartás -ban kell feltüntetni az egyes informatikai rendszerekben adható jogosultsági csoportokat a hozzá tartozó jogokkal együtt (a Nyilvántartásban a Rendszerenkénti munkalapokon) illetve a minden munkatársnak járó alapjogokat (a Nyilvántartásban az Alap-jogok munkalapon). Egyedi személyi jogosultságot csak nagyon indokolt esetben lehet kialakítani, figyelembe véve, hogy az ehhez kötődő nyilvántartási rend és eljárások nagyon megnehezítik a jogosultságok megfelelő nyilvántartását, ellenőrzését és módosítás esetén minden nyilvántartás egyre bonyolultabbá kezelhetetlenebbé válik (az egyedi jogokat a Nyilvántartásban az Egyedi jogok munkalapon tartjuk nyilván). A szerepköröket és az ezekhez csatolt elemi jogokat vagy kisebb jogcsoportokat, amely az adott informatikai rendszerben értelmezett, az adott rendszer rendszerdokumentációjában tartjuk nyilván. Bármilyen változtatás a szerepkörökben vagy a jogcsoportokban a változáskezelés szabályainak megfelelően kell, hogy történjen. (lásd a Változáskezelési Szabályzatban) 2.1.2 Munkakör Egy-egy munkakörhöz több informatikai rendszerben kell több különböző elemi jogot adni, ezért informatikai rendszerenként a jogokat csoportosítjuk és ezeket a jogcsoportokat szerepkörnek nevezzük el. Egy-egy munkakörhöz több szerepkör tartozhat, és egy-egy szerepkör tartozhat több munkakörhöz is. 2.1.3 Szervezeti egység A munkavállalók általában a Társaság egy-egy szervezeti egységéhez kötődnek, ezért szervezeti egységenként is csoportokat képzünk és az ezekhez tartozó hosszabb ideig állandó jogokat is egy-egy önálló egységben kezeljük. Pl.: egy adott szervezeti egység jogait az Active Directory-ban létrehozott csoporttal és az ahhoz tartozó jogokkal kezeljük. Egy személy, aki tagja az adott szervezeti egységnek, az tagja lesz a csoportnak és ezzel megkapja az adott szervezeti egység tagjai számára biztosított hozzáféréseket. A szervezeti egység adatgazdája a szervezeti egység kijelölt vezetője. 2.1.4 Munkacsoport, projekt csoport A Társaságnál nem csak a szervezeti egységen belül dolgozók végezhetnek közösen munkát, hanem szervezeti egységen kívüli alkalmazottakkal (külsős Hatályba helyezve: 2015. 04.01. Oldalszám: 7 / 23

Oldalak száma: 8/23 munkavállalókkal, szerződéses partner alkalmazottjával) is és ezáltal szükségük lehet közös tárterületre, egyforma jogokra egy-egy rendszerben stb., ezért a nyilvántartás egyszerűsítése érdekében ezeket is csoportokba rendezetten tartjuk nyilván és a szervezeti egységekhez hasonlóan kezeljük. Ilyen eset lehet egy-egy projekt, vagy egy-egy adott feladatra több szervezeti egység alkalmazottaiból kialakított csoport. A projekt, vagy munkacsoport adatgazdája a kijelölt vezetője. 2.1.5 Adatgazda A jogosultságok szabályzat szerinti kezeléséhez az adatgazdák kinevezése feltétlenül szükséges. Az adatgazdák listáját a 1. számú melléklet tartalmazza. Az informatikai rendszerek adatgazdája a Gyömrői üzemegység vezetője. Egy-egy adott informatikai rendszeren a munkakörök és szerepkörök összefüggéseit, valamint az ehhez tartozó elemi jogokat az adott informatikai rendszer adatgazdája hagyja jóvá. 2.1.6 Munkakör-szerepkör összerendelés A Társaságnál az aktuálisan létező munkaköröket, szervezeti egységeket és a hozzá tartozó szerepköröket a jogosultság nyilvántartási táblázat Munkakörök munkalapjában kell nyilvántartani [2. számú melléklet]. A táblázat karbantartásáért az IBF a felelős. A jogosultságok egy jelentős részét munkakörökbe csoportosítjuk, és a munkaköröket összekapcsoljuk a szerepkörökkel. Egy-egy alkalmazott munkakörét több tényező határozza meg. A leglényegesebb az, hogy milyen feladatkört kapott, melyik szervezeti egységhez tartozik, és milyen beosztásban van. A külsős munkavállaló, szerződéses partner alkalmazottja esetében a leglényegesebb tényező az az adott feladat, amelyre a szerződést kötötték. Amennyiben egy alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának) több munkaviszonya (szerződése) van a Társasággal, akkor több munkaköre is lehet. 2.2 Jogosultság igénylése 2.2.1 Jogosultság igénylés alanya Csak a személyzeti nyilvántartásban nyilvántartott személynek lehet jogosultságot igényelni. A személyzeti nyilvántartás a bér és munkaügyeket intézőmunkatársnál elérhető. 2.2.2 Jogosultság igénylés A Szervezet informatikai eszközeihez a jogosultságot igényelni kell. Hatályba helyezve: 2015. 04.01. Oldalszám: 8 / 23

Oldalak száma: 9/23 Az igénylést alapesetben a jogosultság igénylő szervezeti egységének vezetője hajtja végre úgy, hogy az kitölt és elküld egy jogosultság igénylő adatlapot, amelyet email-ben juttat el a Szolgáltatási Főmérnöknek és az IBFhez Amennyiben új alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának) igényelnek jogosultságot, akkor alapértelmezetten a munkakör-szerepkör összerendelés listájából, az adott munkavállalóra jellemző tényezők alapján (feladatkör, szervezeti egység, beosztás) kell kiválasztani azokat, amelyekhez a jogosultságot fog kapni. Csak olyan jogosultság igényelhető egy alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának), amelyhez a feladatai ellátásához a szükség van, és csak időben addig, amíg szükséges. Ha időben behatárolható a jogosultság szükségessége, akkor ezt az igénylésen jelezni kell (kezdő és végdátum). A jóváhagyott jogosultsági igénynek megfelelően az igényelt jogosultságokat a Gyömrői üzemegység vezetője (Rendszergazda) állítja be. A jogosultságot lehetőleg azon a napon kell beállítani, és érvénybe helyezni, amikor az igénylés a Rendszergazdához megérkezik. Amennyiben az alkalmazott (külsős munkavállaló, szerződéses partner alkalmazottja) nem aznap, hanem később kezdi a munkáját, akkor az informatikai rendszerben a jogosultságot addig disabled állapotban kell tartani és lehetőleg a munka tényleges megkezdésének napján kell aktiválni. Külsős munkavállalónak, szerződéses partner alkalmazottjának csak addig az időpontig igényelhető jog, ameddig a szerződése szól, de maximum az igényléstől számított egy évig. Ez a megoldás kikényszeríti azt, hogy legalább évente egyszer minden külsős munkavállalónál, szerződéses partner alkalmazottjánál ellenőrzésre kerüljön a jogosultság szükségessége, és a Titoktartási nyilatkozat megléte. 2.2.3 A beállított jog átvétele A beállított jogosultságról a munkavállalót és a közvetlen vezetőjét értesíteni kell. Az értesítés alapesetben e-mail-ben történik. A munkavállalót áthelyezése, vagy bármilyen más státuszváltozása esetén értesíteni kell, ha a kapcsolódó változás érintette a korábbi jogosultságait. Hatályba helyezve: 2015. 04.01. Oldalszám: 9 / 23

Oldalak száma: 10/23 2.2.4 Felhasználói azonosító képzése Minden alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának) egyedi személyi azonosítót kell képezni. Ez az azonosító minimum hat karakterből áll. Az azonosító a teljes vezetéknév és keresztnév (ékezetek nélküli) összerakásából képzett jelsorozat. Az egyedi személyi azonosító és a személy között egyértelmű (egy-egy szintű) kapcsolat van. Egy azonosító nem tartozhat több személyhez és egy személynek nem lehet több azonosítója. Egy felhasznált azonosító (ha már nincs szükség rá) lehetőség szerint ne legyen kiadva más személynek. Egy adott személy esetében az azonosító a Társasággal fennálló kapcsolat idején végig változatlan marad. Amennyiben az adott személy a Társasággal újból munkakapcsolatba lép a korábbi azonosítóját kell, hogy megkapja. Az egyedi személyi azonosító nem változik az adott személy nevének megváltozásakor (pl.: férj nevének felvétele). A felhasználók a Társaság rendszereibe az egyedi személyi azonosítójukkal lépnek be, a felhasználói fiókokat az informatikai területnek ez alapján kell létrehozni. A szabályozás kiadása előtt adott felhasználói azonosítók nem változnak, de új rendszer esetében már nem használhatók. 2.2.5 Alapjogok Minden alkalmazottnak, akinek jogot igényeltek automatikusan kap a Társaság elektronikus levelező rendszerében egy postafiókot és e-mail címet. A külsős munkavállaló, szerződéses partner alkalmazottja, ideiglenes alkalmazott nem kap automatikusan postafiókot, csak abban az esetben, ha a munkájához szükséges. Ezt az adott munkavállaló/partner felett irányítási joggal rendelkező szervezeti egység vezetője, (aki egyébként kezdeményezheti a jog igénylését is) vagy a Szolgáltatási Főmérnök határozza meg. Az interneten keresztüli levelezési jog is igényelendő jog. A személyes e-mail cím általános alakja: vezetéknév. keresztnév@dakov.hu. Ha egy személy vezeték és keresztneve azonos egy a már felvitt személy vezeték és keresztnevével, akkor egy sorszámot kell hozzáadni a vezetéknévhez (pl. Nagy Péter 2, Nagy Péter 3 stb.). A személyes e-mail cím és a személy között egyértelmű (egy-egy szintű) kapcsolat van, egy személyes e-mail cím nem tartozhat több személyhez. Egy személyes e-mail címet (ha már nincs szükség rá) nem szabad más személynek kiadni. Hatályba helyezve: 2015. 04.01. Oldalszám: 10 / 23

Oldalak száma: 11/23 Létrehozható olyan postafiók, amelyet több személy is használ (pl.: ugyfelszolgalat@????.hu, info@????.hu). Az alapjogokat a számlázási rendszernél is egy kezdeti tartalommal meg kell határozni és így kell a kezdetekben beállítani. 2.2.6 Személyek státuszának változása A bér és munkaügyeket intéző munkatárs (Szerződött szolgáltató partnerek esetében a kapcsolattartó) a felelős azért, hogy minden személyi változást, vagy személyek státuszának (gyes, szülési szabadság stb.) változását jelezze az IBF-nek. A külsős munkavállalók, vagy szerződéses partner alkalmazottai esetén a személyenként külön-külön kitöltött Titoktartási nyilatkozat -okat is a Titkárságvezető gyűjteti be és tárolja, frissítteti, és elévülés esetén semmisítteti meg. Az informatikai területet értesíteni kell a Társaságnál alkalmazásban álló, vagy szerződött vállalkozások alkalmazottairól is. Az informatikai terület a Titkárságvezetőtől (Ügyfelek esetében a kapcsolattartótól) értesül arról, hogy az alkalmazotti állományban (külsős munkavállaló, szerződéses partner alkalmazottai) változás történt. Amennyiben megváltozik egy alkalmazott (külsős munkavállaló, szerződéses partner alkalmazottja) feladatköre, munkaköre, vagy más szervezeti egységhez helyezik át, akkor erről az IBF mind a Személyi változás adatlap -ról, mind a Területi Vezető által küldött Jogosultság igénylés adatlap -ról értesül. Ebben az esetben automatikusan elindítja az adott személy jogosultságainak megváltoztatását és átsorolja az új helyzetnek megfelelő munkakörbe, szervezeti egységbe. 2.2.7 Egyedi jogosultság igénylése Ha egy alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának) a feladatai ellátásához szükséges munkakör, szervezeti egység, beosztás alapú jog nem elegendő, akkor a munkakör-szerepkör listán kívüli jogot kell igényelni számára. Első lépésként megvizsgálandó, hogy új munkakör, szervezeti egység létrehozására van-e lehetőség, várható-e, hogy több személy számára is ilyen jogot fognak kérni stb. Amennyiben célszerű a lista változtatása (ennek eldöntése az IBF feladata), akkor azt kell végrehajtani. A jogosultsági csoportok (új munkakör, jogkör) jóváhagyása az IBF feladata. Azokban az esetekben, amelyeknél a munkakör-szerepkör listáján kívüli jogot igényelnek, akkor az igénylőnek (Területi vezető) fel kell tüntetni. Az IBFnek a lehető legrövidebb időn belül válaszolnia kell és egyeztetés után a Nyilvántartás módosítását végre kell hajtani. Hatályba helyezve: 2015. 04.01. Oldalszám: 11 / 23

Oldalak száma: 12/23 2.3 Jogosultságok jóváhagyása és nyilvántartása A jogosultsági igényléseket az IBF tartja nyílván a jogosultsági nyilvántartásban. Egy alkalmazottnak (külsős munkavállalónak, szerződéses partner alkalmazottjának) a jogosultságát alapesetben két személy hagyja jóvá. Az egyik az adott Területi vezető, aki igényli a jogosultságot, a másik az IBF. Az IBF a jóváhagyási jogát nem kiemelt jogok esetében delegálhatja, amennyiben a kért jog a munkakör-szerepkör listán már létezik. Ebben az esetben a delegált jóváhagyó az adott Területi vezető. A jogosultság igénylés jóváhagyása után a Rendszergazda beállítja a jogosultságokat. Adatgazdának és az IBF-nek csak abban az esetben kell külön jóváhagynia a jogosultság igénylést, ha az nem egy korábban általa jóváhagyott munkakörhöz kapcsolódik a munkakör-szerepkör listán. A Rendszergazda csak arra a rendszerre vonatkozó jogot állíthatja be, amelyet Jogosultság igénylési Adatlapon jóváhagytak. Amennyiben Adatgazda egy héten belül nem hagyja jóvá az igényt, az IBF törli azt, és ezt jelzi az adott munkavállalónak és az adott Területi vezetőnek. Egy hétnél régebbi függő kérelmek nem lehetnek a rendszerben. A munkavállaló addig nem tud a még nem engedélyezett rendszerben munkát végezni, ameddig azt nem hagyják jóvá. Ha egy jogosultság igénylést érvénytelenítettek, de a munkavégzéshez szükséges ez a jog, akkor azt újra meg kell igényelni. Külsős munkavállaló, szerződéses partner alkalmazottja esetében az IBF-nek vizsgálni kell, hogy a végzendő tevékenység érint-e üzleti titoknak, vagy személyes adatnak minősülő adatot (az adott jogosultsággal hozzáférhet-e ilyen adathoz), mert ekkor a kapcsolódó szerződés adatvédelemre vonatkozó pontját a Társaság jogi kérdéseiben felelős jogászának jogszabályi megfelelőség szempontjából vizsgálnia és értékelni kell. A jogász jóváhagyása esetén ezt a jogosultság igénylésen jegyzi. Ha a szerződés nem felel meg az adatkezelések és titoktartási kötelezettségek jogszabályi követelményeinek, akkor a jogosultság megadását el kell utasítani. Ha egy nem munkakörhöz kötött jogosultsághoz (bonyolultságánál és összetettségénél fogva) több adatgazda van rendelve, minden adatgazdának jóvá kell hagynia az igénylést. Az adatgazdáknak, mivel felelősek az adott rendszer zártságáért, adatainak megfelelőségéért és a működőképességéért, meg kell ítélniük, hogy az igénylő megfelelően fogja tudni kezelni az adott informatikai rendszert, amelyhez hozzáférést kért. Hatályba helyezve: 2015. 04.01. Oldalszám: 12 / 23

Oldalak száma: 13/23 Amennyiben az alkalmazott (külsős munkavállaló, szerződéses partner alkalmazottja) nem alkalmas a rendszer megfelelő kezelésére, vagy nem lett megfelelően kioktatva, a jogosultsági igényt az adatgazdának el kell utasítani. Ha a jogosultsági igényt az adatgazda kéri, akkor azt neki már nem kell jóváhagyni. Ha egy jogosultsághoz nincs adatgazda rendelve, akkor az IBF dönt, és egyben kezdeményezi az adatgazda kijelölését. 2.3.1 Jogosultsági igény elutasítása Jogosultsági igény elutasítása esetén mindenképpen írásban jelezni kell az igénylőnek az indokokat. Ha egy igénylés egy adott munkavállaló esetén a már meglévő jogokkal együtt összeférhetetlenséget eredményezne, az igénylést el kell utasítani. Szintén el kell utasítani az igénylést, ha az IBF úgy ítéli meg, hogy a kért jog megadása az elfogadható mértékű informatikai biztonsági kockázatot meghaladja. 2.4 Jogosultságok beállítása Alapesetben a jogosultságokat a Rendszergazda állítja be az adott Területi vezetőtől, vagy a jogosultság igénylőjétől kapott, aláírt Jogosultság kérő Adatlap alapján. A beállítást követően a jogosultság beállítás végrehajtását a Rendszergazda a Jogosultság kérő Adatlapon rögzíti. A jogosultságot a jóváhagyott igénylés megérkezése után azonnal be kell állítani. Abban az esetben, ha későbbi munkakezdést jelöltek meg (munkaszerződés, vagy vállalkozói szerződés alapján), akkor a beállítás után a felhasználói fiókot disabled státuszúra kell állítani és csak akkor állítható enabled státuszúra, amikor a munkát ténylegesen megkezdi az adott személy. 2.5 Jogosultságok ellenőrzése Az informatikai rendszerekben lévő jogosultságokat legalább évente egyszer teljes körűen ellenőrizni kell. Az IBF a Társaság munkaügyi nyilvántartását összeveti a Titkárságvezetőtől kért teljes körű személyzeti listával, amely az adott időpontban a Társaságnál dolgozó összes személy (alkalmazott, külsős munkavállaló, szerződéses partner alkalmazottja) szükséges adatait tartalmazza. Az így összeállított listát egybeveti a rendszerekből kinyert jogosultsági adatokkal, és az eltéréseket dokumentálja. Az eltérést mutató dokumentumot megküldi a Titkárságvezetőnek az érintett Területi vezetőnek, valamint a Vezérigazgatónak, ezzel egy időben egyeztetést kezdeményez a Titkárságvezetővel és a Területi Vezetőkkel az eltérések rendezésére. Hatályba helyezve: 2015. 04.01. Oldalszám: 13 / 23

Oldalak száma: 14/23 A függőben lévő igényeket továbbítja a Területi Vezetőnek és jelzi, hogy időtúllépés miatt a jogigénylést törölte (amennyiben mégis szükség van rá, akkor az újra meg kell igényelni). A rendszerekben meglévő, de nem engedélyezett (jóváhagyás nélküli) jogosultságokat dokumentálja, megküldi a Területi Vezetőnek és az adatgazdának azzal, hogy a rendezésre álló határidőig (nem lehet több mint egy hét) vagy igényeljék a jogokat, vagy azok törlésre kerülnek. Ha a rendezésre álló határidőig a Területi Vezető nem kéri a jogosultság beállítását az IBF kötelessége egy héten belül a törléséről rendelkezni és erről értesíteni a dolgozót és a Területi Vezetőt. Ha az eltérések emberi mulasztásból származnak, akkor az IBF az IBSz szerint kezdeményezi az eset kivizsgálását, ha a jogosultság igénylési folyamat hibájából ered, akkor kezdeményezi jelen szabályozás felülvizsgálatát. A naplózás során keletkező, a jogosultságok változtatását jelentő eseményeket az IBF figyelemmel kíséri, és engedély nélküli jogosultság módosítás esetén a Rendszergazdával szemben az IBSz alapján eljárást kezdeményez. Az ellenőrzés tényét dokumentálni kell (ellenőrzési listák, feljegyzések egyeztetések stb.), a dokumentumokat 5 évig meg kell őrizni. 2.6 Jogosultságok törlése, felfüggesztése Ha az alkalmazott (külsős munkavállaló, szerződéses partner alkalmazottja) távozik a Társaságtól, akkor a jogait a Területi Vezető, vagy az IBF disabled -re állíttatja minden rendszerben. Ha a Társaság úgy dönt, akkor a felhasználói fiók törölhető, az IBSz-ben foglaltak betartása mellett. Ez alapesetben a munkavállaló Társaságtól történő távozásakor, külsős munkavállaló szerződéses partner alkalmazottjára vonatkozó szerződésének megszűnésekor (vagy éves felülvizsgálatkor) esedékes. Szükség lehet a jog felfüggesztésére (disabledre állítás), ha az adott dolgozó nem végez a továbbiakban olyan munkát, amelyre a jogot kapta (pl.: új munkakörbe kerül, szülési szabadságra megy, áthelyezik más munkakörbe). A munkakör változásáról, dolgozó távozásáról az informatikai terület elsődlegesen a Területi Vezetőtől érkező adatlapból értesül. 2.6.1 Szervezeti átalakítás Nagyobb szervezeti átalakítás, átcsoportosítás esetén, az összes kapcsolódó jogosultság és munkakör átsorolást a munkakör-szerepkör listáján is át kell vezetni és a megszűnő munkakörökhöz, szervezeti egységekhez tartozó jogokat törölni (módosítani) kell. Ettől az időponttól a megszűnt Hatályba helyezve: 2015. 04.01. Oldalszám: 14 / 23

Oldalak száma: 15/23 munkakörökhöz, szervezeti egységekhez jogot igényelni sem lehet (a függőben lévő igényléseket okafogyottá válás miatt el kell utasítani). A megszűnt szervezeti egység (projekt, munkacsoport) hatáskörében lévő dokumentumokat át kell sorolni az utódszervezet jogosultságai közé. A Területi Vezető megítélése alapján, ha a megszűnő jog a dolgozó további munkavégzéséhez szükséges, akkor azt meg kell igényelni (csak határozott időtartamra igényelhető, javasolt az 1 hónap, de maximum 1 év lehet). 2.6.2 Azonnali felfüggesztés Ha egy adott személy visszaélt a jogosultságával, kárt okozott, vagy olyan mértékű kockázatot jelent a Társaságnak, amely már nem vállalható, akkor az Ügyvezető igazgatótól, vagy az IBF-től telefonon is kérhető a jogosultság megszüntetése. Ebben az esetben az Ügyvezető igazgató, vagy az IBF a helyzet értékelése után dönt a jogosultság visszavonásáról, vagy a kérés elutasításáról. A döntést és a megkeresést az IBF utólag dokumentálja. Amennyiben a jogok felfüggesztése mellett dönt az Ügyvezető igazgató, vagy az IBF, akkor azonnal intézkedik a jogok visszavonásáról. A Rendszergazda ilyen esetben feljegyzésben vagy egyéb módon írásban jelez vissza az IBF-nek, aki a nyilvántartásokban is átvezeti a módosítást (a nyilvántartás és valós beállítások egyezőségének biztosításához). 2.7 Változtatás a munkakör-szerepkör listában A jogosultság nyilvántartás és adminisztráció megfelelő vezetése miatt a jogokat csoportosítjuk munkakörök, szervezeti egységek és beosztások szerint. Ezeket felvesszük egy listára (munkakör-szerepkör lista), amelynek minden érintett sorát az adott rendszer adatgazdája engedélyez. A továbbiakban egy jogosultság alapesetben ezen lista alapján kérhető. Ez a megoldás, mivel az adatgazda engedélyezte az adott jog beállítását az adott munkakörhöz, beosztáshoz, vagy szervezeti egységhez, mentesíti az adatgazdát az egyes jogok engedélyezése során az esetenkénti jóváhagyástól, és nem mellékesen jelentősen meggyorsítja a jogosultság igénylés és beállítás kezelését. A munkakör-szerepkör listája egy összesített lista az informatikai rendszerekben létrehozott jogosultsági csoportokról és kapcsolódó egyedi jogokról. Minden időpillanatban meg kell, hogy egyezzen az adott informatikai rendszerben meglévő jogosultságokra vonatkozó beállításokkal, vagy a megfelelő hivatkozásokat kell, hogy tartalmazza. Hatályba helyezve: 2015. 04.01. Oldalszám: 15 / 23

Oldalak száma: 16/23 A Rendszergazda bármilyen jogosultsági rendszert, mint rendszert érintő módosítás esetén köteles jelenteni a változtatást az IBF-nek, aki intézkedik annak a munkakör-szerepkör listáján történő átvezetéséről, és szükség esetén az adatgazdai jóváhagyásról. A munkakör-szerepkör listáján lehetőség szerint vezetni kell az összeférhetetlen jogokat. Ez szervezeti egységek közötti, egy rendszeren belüli és rendszerek közötti összeférhetetlenség is lehet. Egyedi jog igénylése esetén az IBF köteles vizsgálni azt, hogy az adott igény többször is előfordulhat-e, ha igen, akkor kezdeményezi a munkakörszerepkör listájának módosítását. A munkakör-szerepkör listáját a Társaság belső hálózatán, nyilvános helyen kell tartani, hogy a jogosultság igénylők arról választhassák ki a megfelelő besorolást. 2.8 Elfelejtett jelszó cseréje Amennyiben egy jogosult elfelejti a jelszavát, akkor annak újbóli beállítását email útján, írásban kérnie kell a Rendszergazdától. A Rendszergazda csak úgy állíthatja át a jelszót, hogy azt a felhasználónak első belépéskor meg kelljen változtatni. A naplózás során keletkező, a jelszómódosítást érintő változtatásokat az IBF figyelemmel kíséri. 2.9 Vészhelyzeti jogosultságkezelés Alapesetben a jogosultság engedélyezése megelőzi a jogosultság beállításának időpontját. Előfordulhat olyan vészhelyzet (a Társaság számára jelentős veszteség lehetősége, vagy vállalhatatlan mértékű kockázat megjelenése), amikor az engedélyezési folyamat ideje túl sok lenne, ekkor a Rendszergazda a vészhelyzet elhárításához szükséges jogokat beállítja. A Rendszergazda a vészhelyzet elmúltával, de legkésőbb a beállítást követő munkanapon jegyzőkönyvet készít, amelyben pontosan leírja a vészhelyzetet és a végrehajtott jogosultság módosításokat. A jegyzőkönyvet el kell juttatni az IBF-nek, a Szolgáltatási Főmérnöknek, és az adott rendszer adatgazdáinak. Amennyiben szükséges az érintettek kezdeményezik az eset kivizsgálását és a kapcsolódó nyilvántartások módosítását. A naplózás során keletkező, a jogosultsági rendszert érintő változtatásokat az IBF figyelemmel kíséri, vészhelyzet esetén az elkészült naplóállományokat részletesen megvizsgálja és jegyzőkönyvezi. Eltérés esetén egyeztetést kezdeményez. Hatályba helyezve: 2015. 04.01. Oldalszám: 16 / 23

Oldalak száma: 17/23 2.10 Kiemelt jogosultságok kezelése Minden kiemelt jog konkrét személyhez kötött és ő felel az adott joggal végrehajtott informatikai eseményekért. Kiemelt jogosultság két módon jöhet létre. A termékkel szállított, telepítéskor létrejövő kiemelt jogú objektum (általában felhasználói fiók is egyben), vagy a használat során a Társaság (vagy szerződött partnere) által létrehozott kiemelt jogú objektum és kapcsolódó felhasználói fiók. 2.10.1 Telepítéskor létrehozott, kiemelt jogú felhasználói fiók (objektum) kezelése Ha az adott rendszerben végrehajtható, akkor a telepítéskor létrehozott kiemelt jogú felhasználói fiókról (a meglévő jogaival egyezően) egy másik kiemelt jogú felhasználói fiókot (klónt) kell létrehozni. A telepítéskor létrehozott kiemelt jogú felhasználói fiókot ezzel együtt (tesztelés után) disabled állapotba kell helyezni. Ha a rendszer ezt nem engedi meg, akkor a jelszavát a borítékolás szabályai szerint borítékba kell helyezni és az általános használatát meg kell tiltani. 2.10.2 Kiemelt jogosultság objektumok létrehozása A kiemelt jogosultság objektumok létrehozásakor (nem a telepítéskor automatikusan létrejövő objektumok) a jogosultságigénylés normál szabályai szerint kell eljárni kiegészítve azzal, hogy az igény teljesítéséhez a Területi Vezetőn kívül az IBF és az adatgazda egyedi hozzájárulását is be kell szerezni. Egy kiemelt jogosultság objektum létrejöttét regisztrálni kell a kiemelt jogok listáján. A listát az IBF vezeti (a Nyilvántartás -ban a Kiemelt-jogok munkalapon) és a havi ellenőrzéskor ezt is vizsgálja. 2.10.3 A kiemelt jogosultság objektumhoz kapcsolódó felhasználói fiók létrehozása, használata, törlése 2.10.3.1. KIEMELT JOGOSULTSÁGÚ FELHASZNÁLÓI FIÓK LÉTREHOZÁSA A kiemelt jogosultság objektumhoz felhasználói fiók csatolása, vagy létrehozása a jogosultságigénylés normál szabályai szerint történik kiegészítve azzal, hogy az igény teljesítéséhez a Területi Vezetőn kívül az IBF és az adatgazda egyedi hozzájárulását is be kell szerezni. Egy ilyen felhasználói fiók létrejöttét regisztrálni kell a kiemelt jogok listáján. A listát az IBF vezeti, és a havi ellenőrzéskor ezt is vizsgálja. Hatályba helyezve: 2015. 04.01. Oldalszám: 17 / 23

Oldalak száma: 18/23 2.10.3.2. KIEMELT JOGOSULTSÁGÚ TECHNIKAI FELHASZNÁLÓI FIÓK A technikai jogosultságokhoz kapcsolódó felhasználói fiókok esetében az igénylő a Rendszergazda. A létrehozáshoz nem szükséges az IBF engedélye, de a nyilvántartásba vétel miatt a létrehozás előtt mindenképpen értesíteni kell. Egy technikai jogosultságokhoz kapcsolódó felhasználói fiók felelőse (igénylő és felhasználó) távozik a Társaságtól, vagy más munkakörbe kerül, akkor az nem jelenti azt, hogy azonnal disabledre kell állítani az adott technikai jogot, mert az megszakíthatja a Társaság normális működését. Az IBF-et és a Területi Vezetőt azonnal tájékoztatni kell ilyen esetben és nekik kötelességük kezdeményezni, hogy az új felelős kijelölésre kerüljön. 2.10.3.3. KIEMELT JOGOSULTSÁGÚ FELHASZNÁLÓI FIÓK TÖRLÉSE Kiemelt joghoz kapcsolt felhasználói fiókot törölni tilos, azt csak letiltott, disabled állapotba kell helyezni. A felhasználói fiók disabled állapotba helyezésekor a normál jogkezelési szabályok szerint kell eljárni, kiegészítve azzal, hogy a kiemelt felhasználok listájáról is ki kell vezetni. Ha egy kiemelt jogosultságnál megszűnik minden felhasználói fiók hozzárendelése, akkor a Rendszergazdának a feladata annak megítélése, hogy a jogot disabledre kell-e állítani, vagy a jogait teljesen el kell vonni. 2.10.3.4. KÜLSŐSNEK ADOTT KIEMELT JOGOSULTSÁGÚ FELHASZNÁLÓI FIÓK Szerződéses partner alkalmazottjának adandó kiemelt jogosultság esetén a partner által végzendő tevékenység alapján a Jogi képviselő álláspontját kell kérni, hogy a tevékenység kiszervezésnek minősül-e, és a céggel kötött szerződés megfelel-e a jogszabályi előírásoknak. Amennyiben a szerződés nem felel meg a jogszabályi előírásoknak, akkor a Jogi képviselő feladata a szerződés felülvizsgálata. 2.10.3.5. BORÍTÉKOS JOGOSULTSÁGHOZ KÖTŐDŐ FELHASZNÁLÓI FIÓK A borítékos jogosultsághoz kötődő felhasználói fiók jelszavát a létrehozóján kívül nem ismerheti más. Minden borítékolandó felhasználói fiókhoz tartozó jelszót külön borítékban kell tárolni és tűzbiztos szekrényben kell tartani. 2.10.4 Karbantartói jogosultság használata A karbantartói jogosultságot akkor lehet használni, ha fejlesztési hibát kell kijavítani, programfrissítést, új programot kell telepíteni, vagy olyan működési probléma, változtatási igény merült fel, amely azonnali, halasztást Hatályba helyezve: 2015. 04.01. Oldalszám: 18 / 23

Oldalak száma: 19/23 nem tűrő beavatkozást tesz szükségessé, mert az üzleti folyamatok nem megfelelően működnének. Maga a változtatás a Változáskezelési Szabályzat alapján kell, hogy történjen. A karbantartói jog lehet a Rendszergazda által használt, vagy borítékban tárolt jelszóval működő, vagy fejlesztőhöz rendelt disabled-re állított jog (vészhelyzet esetén használható jog). 2.10.5 A borítékolt kiemelt jogok használatának szabályai 2.10.5.1MUNKAIDŐBEN TÖRTÉNŐ BORÍTÉKNYITÁS Munkaidőn belül a boríték átadására kizárólag az Ügyvezető igazgató előzetes, írásos hozzájárulása alapján kerülhet sor. A Jegyzőkönyvben fel kell tüntetni a dátum mellett a pontos időt is, amikor a borítékot átvette, amikor a jogot használatba vette, és amikor a munkát befejezte és a joghoz tartozó jelszó borítékolását megkezdte. A dokumentumokat az IBF őrzi az iratkezelés szabályai szerint 8 évig. A jegyzőkönyveket sorszámozva iktatókönyvben rögzíti, vagy az elektronikus nyilvántartó rendszerben tárolja. 2.10.5.2MUNKAIDŐN KÍVÜL TÖRTÉNŐ BORÍTÉKNYITÁS Munkaidőn kívül a hozzájárulásokat az Ügyvezető igazgató vagy az IBF-től a megadott mobil számon kell kérni és a jegyzőkönyvre rá kell vezetni a hívás tényét és idejét is. Az engedélyezőknek a következő munkanapon utólag írásban is jóvá kell hagyni a korábbi szóbeli engedélyüket. 2.10.6 Kiemelt jogok ellenőrzése A kiemelt és disabled-be helyezett jogok megfelelőségének ellenőrzése az IBF rendszeres (havi) feladata. 2.10.7 Kiemelt jogok jogosulatlan használata A kiemelt jogosultság használata akkor minősül jogosulatlannak, ha a jogosultságot olyan személy használta, akinek erre nem volt felhatalmazása. Mindenképpen ki kell vizsgálni, hogy ki tette lehetővé a jogosultság használatát azzal, hogy a használathoz szükséges információkat átadta. Jogtalan használatnak minősül az is, ha a kiemelt jogosultság használatát nem megfelelően dokumentálták (a napló-állományokból kiderül a használat, viszont jegyzőkönyv nem készül, vagy az tartalmilag nem megfelelő), vagy a Hatályba helyezve: 2015. 04.01. Oldalszám: 19 / 23

Oldalak száma: 20/23 naplózási beállításokat engedély nélkül módosította, vagy a jogosultság használata nem a rendeltetésnek megfelelő céllal történt. 2.10.8 Jogosulatlan használat ellenőrzése A jogosulatlan használatot havi gyakorisággal az IBF vizsgálja. A jogosulatlan használatról tájékoztatnia kell az Ügyvezető igazgatót. A jogosulatlan használat következményeit az Ügyvezető igazgató határozza meg, kiemelten súlyos esetben fegyelmi felelősségre vonást kell kezdeményezni. A szankcionálás alapvetően az IBSz előírásaira épül. 2.11 Kivételek kezelése A jelen utasításban rögzített szabályoktól akkor lehet eltérni, ha az adott esetben döntési jogkörrel rendelkező összes érintett egyetért abban, hogy szükséges eltérni az általános szabálytól és abban is, hogy ezt milyen módon kell (lehet) megtenni. A szabálytól történő eltérés csak eseti jelleggel történhet, általános szabályként nem hivatkozható egy korábbi eltérés megegyezése. Az adott kivételt (szabályt) írásban dokumentálni kell és az IBF az iratkezelés szabályai szerint 8 évig őrzi. Hatályba helyezve: 2015. 04.01. Oldalszám: 20 / 23

Oldalak száma: 21/23 3 Mellékletek 3.1 1.Melléklet Adatgazdák listája nyomtatvány A Daköv Kft. Informatikai rendszereinek Adatgazdái A mindenkori Informatikai Biztonsági szabályzatnak megfelelően minden kritikus és lényeges informatikai rendszernek kell, hogy legyen egy kijelölt adatgazdája és helyettes-adatgazdája. Az adatgazda a felelős azért, hogy meghatározza, hogy a rendszert hogyan kell megfelelően alkalmazni és gondoskodik a rendszer megfelelő biztonságáról. A Daköv Kft. Ügyvezető igazgatójaként az alábbiakban határozom meg a Társaság kritikus és lényeges rendszereit és azok adatgazdáit. Rendszer neve: Adatgazda Adatgazda aláírása Adatgazdahelyettes Adatgazdahelyettes aláírása., 20........ Ügyvezető igazgató. Műszaki Igazgató.. Információbiztonsági felelős Hatályba helyezve: 2015. 04.01. Oldalszám: 21 / 23

Oldalak száma: 22/23 3.2 2.Melléklet Munkakör-szerepkör táblázat felépítése Igazgatóság Szerv. egység Munkakör Alapértelmezett jogok (lásd külön munkalapon) Szerepkör_1 Rendszer1 Szerepkör_x Szerepkör1 Rendszer_n Szerepkör_x Ügyvezető igazgató Ügyvezető igazgató X Vezető X X Vezérigazgatóság Üzleti és cégügyek Ügyintéző Rendszergazda X X X üzleti terület megnevezése Ügyfélszolgálat Vezető X HD munkatárs X X X Igazgató Vezető X Szervezés Szoftverfejlesztés Tesztelés Üzemeltetés támogatás Vezető X X Munkatárs Vezető Fejlesztő Vezető Tesztelő Vezető Támogató X X X X X X X Hatályba helyezve: 2015. 04.01. Oldalszám: 22 / 23

Oldalak száma: 23/23 3.3 3.Melléklet Kiemelt jogok listája Rendszer Alrendszer/típus Megjegyzés Account Felelős neve Hatályba helyezve: 2015. 04.01. Oldalszám: 23 / 23