CHECKLISTEK

A) Hatály, szervezeti felelősségek

  1. ☐ NIS2 érintettség és besorolás tisztázva (árazat + méret + szerep).

  2. ☐ Kijelölt felelős / projektgazda (nem csak IT).

  3. ☐ Vezetőségi jóváhagyás: NIS2 program elindítva (határidőkkel).

  4. ☐ Kapcsolattartó pont kijelölve (hatósági kommunikációra).

B) Rendszerleltár és kritikus rendszerek

  1. ☐ Elektronikus információs rendszerek leltára (rendszerek, szolgáltatások).

  2. ☐ Üzletkritikus rendszerek azonosítva (BIA vagy kritikalitás szerint).

  3. ☐ Fő adatvagyonok azonosítva (személyes adat, üzleti titok, stb.).

  4. ☐ Rendszerek besorolása (biztonsági osztály / kockázati szint).

C) Kockázatmenedzsment

  1. ☐ Kockázatkezelési módszertan dokumentálva.

  2. ☐ Kockázatértékelés elkészült és vezetői szinten elfogadott.

  3. ☐ Kezelési terv: intézkedések, felelős, határidők.

  4. ☐ Kockázatok felülvizsgálati ciklusa meghatározva.

D) Technikai és szervezeti kontrollok (minimum csomag)

  1. ☐ MFA kritikus rendszereken.

  2. ☐ Jogosultságkezelés: igénylés–jóváhagyás–visszavonás–felülvizsgálat.

  3. ☐ Patch menedzsment / frissítési rend.

  4. ☐ Mentések rendje (offline/immutable is) + rendszeres restore teszt.

  5. ☐ Naplózás + logmegőrzés alapelvek.

  6. ☐ Alap hálózati védelem (szegmentáció, tűzfal szabályok).

  7. ☐ Végpontvédelem (EDR/AV) + felügyelet.

  8. ☐ Sérülékenységkezelés (scan, eredmények kezelése).

E) Incidenskezelés és bejelentés

  1. ☐ Incidenskezelési eljárás dokumentálva.

  2. ☐ Incidens minősítési logika: mi jelentendő és mi nem.

  3. ☐ Eszkalációs rend: ki értesít kit és mikor.

  4. ☐ Gyakorlat / teszt megtörtént az elmúlt 12 hónapban.

F) Beszállítók és külső partnerek

  1. ☐ Kritikus beszállítók listája + kockázati értékelés.

  2. ☐ Szerződéses biztonsági követelmények (SLA, DPA, logging, audit jog).

  3. ☐ Külső hozzáférések kontrollja (VPN, MFA, jogosultság felülvizsgálat).

G) Auditálhatóság és bizonyítékok

  1. ☐ Információbiztonsági szabályzat + mellékletek naprakészen.

  2. ☐ Dokumentált evidenciák: logok, jegyzőkönyvek, riportok, ellenőrzések.

  3. ☐ Belső audit / vezetői áttekintés működik.

A) Dokumentumok és rendszerlogika

  1. ☐ ISMS scope tiszta és indokolt.

  2. ☐ Politika jóváhagyott, kommunikált.

  3. ☐ ISMS célok és mérés (KPI-k).

  4. ☐ Kockázatkezelési módszertan naprakész.

  5. ☐ Kockázatértékelés frissítve (utolsó 12 hónap).

  6. ☐ Kockázatkezelési terv létezik (tulajdonosokkal).

  7. ☐ SoA elkészült és összhangban van a kockázatokkal.

B) Kötelező evidenciák (audit kedvencek)

  1. ☐ Asset leltár / információvagyon nyilvántartás.

  2. ☐ Hozzáféréskezelési folyamat működik + minták.

  3. ☐ Jogosultság felülvizsgálat elvégezve és dokumentálva.

  4. ☐ Kilépési folyamat (offboarding) bizonyítékokkal.

  5. ☐ Mentési rend + restore teszt jegyzőkönyv.

  6. ☐ Patch rend + minták (ticket / change).

  7. ☐ Incidens napló + eseménykezelési szabályok.

C) Beszállítók

  1. ☐ Beszállító nyilvántartás + kritikus besorolás.

  2. ☐ DPA / security követelmények szerződésekben.

  3. ☐ Felhős szolgáltatók kockázatai dokumentálva.

D) Tudatosság és HR

  1. ☐ Belépő oktatás megvan.

  2. ☐ Éves tudatossági kampány megvan.

  3. ☐ Titoktartás / NDA-k rendben.

E) Auditképesség

  1. ☐ Belső audit lezajlott.

  2. ☐ Nemmegfelelőségek kezelése dokumentálva.

  3. ☐ Vezetőségi átvizsgálás megtörtént.

  4. ☐ Audit program / audit területfelelősök felkészítve.

Jogszabályi megfelelés – 12 pontos mini lista

  1. ☐ Jogszabályfigyelés módja meghatározva (ki, hogyan, milyen gyakran).

  2. ☐ Vonatkozó jogszabálylista / megfelelési mátrix elkészült.

  3. ☐ Követelmények értelmezése: mit kell teljesíteni telephelyenként.

  4. ☐ Felelősök kijelölve követelményenként.

  5. ☐ Megfelelés bizonyítékai rögzítve (mérés, jegyzőkönyv, engedély).

  6. ☐ Megfelelésértékelés évente minimum 1× megtörténik.

  7. ☐ Nemmegfelelőségek kezelése dokumentált (határidő, felelős).

  8. ☐ Környezetvédelmi engedélyek nyilvántartása naprakész.

  9. ☐ Adatszolgáltatások és hatósági bejelentések rendje tiszta.

  10. ☐ Hulladék nyilvántartások és szerződések rendezettek.

  11. ☐ Kibocsátások / mérések / monitoring dokumentált.

  12. ☐ Hatósági ellenőrzések tapasztalatai beépítve.

  • ☐ Minden energiahordozót figyelembe vettetek (villany, gáz, üzemanyag, hő)?

  • ☐ Megvannak 12–36 hónap fogyasztási adatok?

  • ☐ Van telephely/folyamat bontás (nem csak összes)?

  • ☐ Azonosítottátok a SEU-kat (Significant Energy Use)?

  • ☐ A SEU-k legalább 80%-a mérhető (al-mérés / becslés dokumentáltan)?

  • ☐ Tudjátok, mi befolyásolja a SEU-k fogyasztását (változók: termelés, hőmérséklet, műszak)?

  • ☐ Van energia baseline (EnB) – és releváns?

  • ☐ Használtok energia performance indicatorokat (EnPI)?

  • ☐ Van energiaáramlási térkép / Sankey / energiafolyamat ábra?

  • ☐ Azonosítottátok a fő veszteségpontokat (szivárgás, standby, túlzott hűtés-fűtés)?

  • ☐ Készült rangsor: hol a legnagyobb megtakarítás (TOP 5)?

  • ☐ Készült gazdasági értékelés (megtérülés / CAPEX / OPEX)?

  • ☐ Van akcióterv: felelős, határidő, mérés?

  • ☐ Az intézkedések után van visszamérés (verifikáció)?

  • ☐ A review évente frissül (nem egyszeri projekt)?

A) Shadow AI feltérképezés

  1. ☐ Van lista az engedélyezett AI eszközökről.

  2. ☐ Tudjátok, hogy jelenleg milyen AI-t használnak a részlegek (Marketing, HR, Sales, IT, jog)?

  3. ☐ Van policy az AI használatra (tiltásokkal).

  4. ☐ Van kontroll az új AI eszköz bevezetésére (jóváhagyás, kockázatelemzés).

B) Prompt = adat (adatvédelem)

  1. ☐ Egyértelműen tiltva van személyes adat promptba vitele (különösen HR/egészségügy).

  2. ☐ Tiltva van szerződés, tenderanyag, ügyféllevelezés promptba másolása.

  3. ☐ Van anonimizálási/mintázási módszer biztonságos promptoláshoz.

C) Output kontroll (hallucináció elleni védelem)

  1. ☐ Az AI outputot kritikus területen mindig ellenőrzi ember (human-in-the-loop).

  2. ☐ Külön szabály van: ügyfélnek menő AI szöveg jóváhagyás nélkül nem mehet ki.

  3. ☐ Van verziókövetés és dokumentálás AI által létrehozott belső anyagokra.

D) Beszállító / modellkockázat

  1. ☐ Külső AI szolgáltatók szerződésében adatkezelési és titokvédelmi pontok vannak.

  2. ☐ Felhős AI esetén szabályozott a tenant / adatmegőrzés / training opt-out.

  3. ☐ Van kockázati besorolás: mely AI használat magas kockázat (HR, scoring, döntés).

E) Tudatosság + incidens

  1. ☐ AI tudatossági képzés megtörtént (prompt hygiene, adatvédelem).

  2. ☐ Van AI incidenskezelés: mi a teendő prompt leak vagy rossz output esetén?