GYIK
Gyakran ismételt kérdések
Minden, amit szolgáltatásainkról és irányelveinkről tudnia kell.
Hogyan takarít meg az SCMC ténylegesen időt a mindennapokban? +
Milyen problémát old meg az SCMC jobban, mint az Excel vagy a kézi dokumentáció? +
Hogyan támogatja az SCMC az auditálható és nyomon követhető munkamódszert? +
Hogyan javítja az SCMC a szakterület, biztonság és menedzsment közötti együttműködést? +
Szükség van képzésre? +
Mi a konkrét hozzáadott érték tanácsadó cégek számára? +
Az SCMC kisebb szervezetek számára is hasznos? +
Több személy is dolgozhat ugyanazon a projekten? +
Hogyan keletkezik az SCMC-vel hosszú távú haszon és nem csak egyszeri projekthatás? +
Hogyan akadályozza meg az SCMC, hogy a korábbi munka elvesszen? +
Hogyan védettek az adataink? +
Hány projektet hozhatok létre? +
Milyen gyakran adhatok választ ugyanazokra a kérdőívekre? +
Összehasonlíthatom a válaszaimat a korábban adott válaszokkal? +
Amikor megpróbálok hozzáadni egy második passkey-t, semmi nem történik. Ez egy hiba? +
Bezártam a regisztrációs ablakot, mielőtt megadtam volna az e-mail megerősítő kódot. Elakadtam? +
Szószedet
Mit jelentenek a legfontosabb fogalmak?
Tömör definíciók az információbiztonság, megfelelőség, AI-irányítás és adatvédelem témaköreiben — közvetlenül használható kézikönyvként.
- ISMS
- Information Security Management System (Információbiztonsági irányítási rendszer). Strukturált keretrendszer irányelvekből, folyamatokból és kontrollokból, amely az információbiztonságot rendszerszinten kezeli. Az ISO/IEC 27001 magja.
- ISO/IEC 27001:2022
- Az ISMS nemzetközi szabványa. A jelenlegi (2022) verzió 93 Annex A kontrollt határoz meg négy témacsoportban: szervezeti, emberi, fizikai, technológiai.
- Annex A
- Az ISO/IEC 27001 melléklete a kontrollkatalógussal. A 2022-es verzióban az Annex A 93 kontrollt tartalmaz, amelyeket a kockázatkezelési tervekben hivatkoznak.
- SoA (Statement of Applicability)
- Kötelező dokumentum az ISO 27001-hez. Felsorolja az összes Annex A kontrollt, megadja, hogy melyik alkalmazható, és indokolja a kiválasztást.
- Érettségi szint
- Egy biztonsági kontroll megvalósítási szintjének mennyiségi mérése, jellemzően 0 (nincs megvalósítva) és 4 (optimalizált / következetesen hatékony) közötti skálán.
- Hiányelemzés
- Egy szabvány vagy keretrendszer jelenlegi és cél állapotának összehasonlítása. Konkrét hiányosságok és cselekvési területek listáját adja.
- Auditra való felkészültség
- Az az állapot, amelyben az igazolások, folyamatdokumentációk és kontrollértékelések úgy állnak rendelkezésre, hogy belső vagy külső audit hosszas előkészület nélkül elvégezhető.
- IKT-Minimalstandard
- Az IKT-biztonság svájci szabványa, amelyet a BACS adott ki. Az öt NIST-funkció (Identify, Protect, Detect, Respond, Recover) szerint strukturált. Az ISG hatálya alá tartozó kritikus infrastruktúrák számára kötelező.
- ISG
- Svájci információbiztonsági törvény. A felülvizsgált verzió 2025 óta hatályos. Bizonyos kritikus infrastruktúra-üzemeltetőket kötelez az IKT-Minimalstandard megvalósítására.
- BACS
- Szövetségi Kiberbiztonsági Hivatal (Svájc). Az IKT-Minimalstandard kiadója és nemzeti kapcsolattartó pont kiberbiztonsági incidensek esetén.
- NIST CSF 2.0
- Az amerikai National Institute of Standards and Technology kiberbiztonsági keretrendszere, 2.0-s verzió (2024). Hat funkció: Govern, Identify, Protect, Detect, Respond, Recover.
- NIS2
- EU-irányelv a magas közös kiberbiztonsági szint érdekében hozott intézkedésekről (Network and Information Security Directive 2). A 21. cikk (2) bekezdése tíz kötelező intézkedési területet sorol fel.
- ICS / IKS
- Belső kontrollrendszer. Strukturált keretrendszer kontrollokból, felelősségekből és igazolásokból, amely biztosítja az üzleti célokat és kezeli a kockázatokat — pénzügy, IT, üzemeltetés és megfelelőség területeken.
- TOMs
- Technikai és szervezeti intézkedések. Adatvédelmi kontextusban: konkrét óvintézkedések a személyes adatok védelmére, amelyeket a GDPR 32. cikke és a revDSG előír.
- DSFA
- Adatvédelmi hatásvizsgálat. Kötelező felmérés az érintettek jogaira és szabadságaira nézve magas kockázattal járó adatkezelési tevékenységek előtt (GDPR 35. cikk, revDSG 22. cikk).
- revDSG
- A felülvizsgált svájci adatvédelmi törvény, 2023. szeptember 1-je óta hatályos. A svájci adatvédelmi jogot nagyrészt a GDPR szintjére emeli, svájci sajátosságokkal.
- GDPR
- Az EU általános adatvédelmi rendelete (2016/679). Szabályozza a személyes adatok kezelését az EU-ban, alkalmazandó az EU-val kapcsolatban álló svájci vállalatokra.
- AVV
- Adatfeldolgozási megbízási szerződés (angolul DPA). A GDPR 28. cikke szerinti szerződés az adatkezelő és az adatfeldolgozó között, amely a személyes adatok kezelését szabályozza.
- Adatkezelési nyilvántartás
- A GDPR 30. cikke / revDSG 12. cikke szerinti kötelező nyilvántartás. Dokumentálja a szervezet összes adatkezelési tevékenységét célokkal, adatkategóriákkal, címzettekkel és megőrzési idővel.
- ISO/IEC 42001:2023
- Az AI-irányítási rendszerek (AIMS) első nemzetközi szabványa. Meghatározza az AI-rendszerek irányítására, kockázatkezelésére és életciklusára vonatkozó követelményeket.
- EU AI Act
- Az EU első átfogó AI-szabályozása (2024/1689 rendelet). Kockázatalapú megközelítés tiltásokkal, GPAI-modellekre vonatkozó kötelezettségekkel és magas kockázatú AI-rendszerek követelményeivel. Fokozatos hatálybalépés 2025–2027 között.
- GPAI
- Általános célú AI. Az EU AI Act-ben: széles körben alkalmazható AI-modellek (pl. nagy nyelvi modellek). Saját kötelezettségek 2025 augusztusától, szigorúbbak a rendszerszintű kockázattal járó GPAI-ra.
- Magas kockázatú AI
- Az EU AI Act által érzékeny alkalmazási területeken (pl. toborzás, hitelképesség, bűnüldözés, kritikus infrastruktúrák) besorolt AI-rendszerek. A követelmények 2026 augusztusától kötelezőek.
- AI Literacy (EU AI Act 4. cikk)
- Kötelezettség 2025 februárjától: az AI-rendszerek szolgáltatóinak és üzemeltetőinek biztosítaniuk kell, hogy az érintett személyek megfelelő AI-kompetenciával rendelkezzenek — a kontextushoz és a kockázathoz mérten.
- NIST AI RMF 1.0
- A NIST (USA) AI-kockázatkezelési keretrendszere. Strukturált megközelítés az AI-kockázatok azonosítására, értékelésére és kezelésére négy alapfunkción keresztül: Govern, Map, Measure, Manage.
- Threat Intelligence (A.5.7)
- Új kontroll az ISO/IEC 27001:2022 Annex A-ban. Megköveteli a fenyegetési információk gyűjtését, elemzését és terjesztését a kiberkockázatokra való proaktív reagálás érdekében.
- Felhőbiztonság (A.5.23)
- Új kontroll az ISO/IEC 27001:2022 Annex A-ban. Szabályozza a felhőszolgáltatások kiválasztását, használatát, kezelését és megszüntetését biztonsági szempontból.
- 72 órás bejelentés
- Kötelezettség a GDPR 33. cikke / revDSG szerint: az érintettekre nézve kockázatot jelentő adatvédelmi incidenseket a tudomásszerzéstől számított 72 órán belül be kell jelenteni az illetékes felügyeleti hatóságnak.
- Önértékelés
- A saját biztonsági vagy megfelelőségi érettség strukturált önértékelése. Dokumentált alapvonalat és intézkedési listát ad — de nem helyettesíti a külső auditot vagy tanúsítványt.
- BSI-szabvány
- A német Szövetségi Információbiztonsági Hivatal által kiadott szabványok (pl. BSI 200-2 az IT-Grundschutzhoz, 200-3 a kockázatelemzéshez). Gyakorlati kockázatkezelési keretrendszer, Svájcban gyakran adaptálják.