Vector Csoport Információbiztonsági Politikája

Verzió: 1.0  |  Kelt: Kecskemét, 2026.04.09.

1. Cél és hatály

Jelen politika a Vector Csoport információbiztonsági irányítási rendszerének (a továbbiakban: IBIR) legfelső szintű dokumentuma, amely egységes irányelveket határoz meg a vállalatcsoport összes tagvállalata és kapcsolódó jogi entitása számára. A politika az információbiztonsági irányítási rendszer legfelső szintű irányelvét jelenti, amely keretet ad a biztonsági célok kitűzéséhez, megvalósításához és folyamatos fejlesztéséhez. Érvényes minden olyan tagvállalatra, telephelyre, szolgáltatási egységre és munkavállalóra, amely az IBIR hatálya alá tartozik.

A Politika hatálya lefedi többek között az alábbi szervezeteket:

  • Vector Üzleti Információs Fejlesztő, Szolgáltató és Kereskedelmi Kft (10574807)
  • Vector Software Services Szolgáltató Kft (13639637)
  • Vector Software Hungary Zrt (32627666)

A Politika személyi hatálya kiterjed a felsorolt vállalatoknál minden munkavállalóra, alvállalkozóra és beszállítóra.

A Politika tárgyi hatálya különösen az alábbi tevékenységeket fedi le:

  • ERP rendszerek fejlesztése, bevezetése, oktatása és karbantartása;
  • kapcsolódó terméktámogatási és ügyfélszolgálati folyamatok;
  • szoftverlicencek értékesítése;
  • munkavállalói és ügyféladatok kezelése;
  • AWS-alapú felhőszolgáltatások üzemeltetése;
  • személyes és üzleti adatok feldolgozása és tárolása.

2. Vezetői elkötelezettség

A Vector Csoport vezetősége elkötelezett az információbiztonsági kultúra megerősítése és az ISO/IEC 27001:2022 szabvány szerinti irányítási rendszer bevezetése, működtetése és folyamatos fejlesztése mellett. A vezetőség felismeri, hogy az információbiztonság stratégiai fontosságú, üzleti értéket teremt, és alapvetően hozzájárul az ügyfelek, partnerek és munkatársak bizalmának fenntartásához.

A vezetőség vállalja, hogy:

  • példamutató magatartással támogatja a biztonságtudatos szervezeti kultúra kialakítását;
  • biztosítja a szükséges pénzügyi, emberi, infrastrukturális és technológiai erőforrásokat az IBIR hatékony működtetéséhez;
  • támogatja a munkavállalók folyamatos képzését és fejlesztését az információbiztonság terén;
  • gondoskodik arról, hogy minden releváns jogszabályi, szerződéses és szabványi követelmény teljesüljön;
  • aktívan részt vesz az információbiztonsági célok meghatározásában és értékelésében;
  • biztosítja a vezetőségi átvizsgálások rendszeres elvégzését, és döntéseivel támogatja a rendszer folyamatos fejlesztését.

A vezetőség meggyőződése, hogy az információbiztonság nem kizárólag technológiai kérdés, hanem a vállalati kultúra és felelősségvállalás alapvető eleme, amelynek minden munkatárs részese.

3. Csoportszintű és helyi irányítási struktúra

A vállalatcsoport egységes, központilag irányított IBIR-t működtet, amelyet kiterjeszt minden, a cégcsoporthoz tartozó jogi entitásra.

A Szervezet ezért kijelöl egy információbiztonsági felelőst (IBF), aki:

  • meghatározza az irányelveket, célokat és kockázatkezelési metodikát;
  • koordinálja a belső auditokat és a tanúsítási folyamatot;
  • egységesíti a biztonsági eljárásokat és dokumentációt;
  • tájékoztatja a vezetőséget a vonatkozó kockázatokról és azok kezeléséről;
  • gondoskodik a szervezeti tudatosságról.

4. Információbiztonsági alapelvek

A Vector Csoport tevékenysége során az információbiztonság három alapelve — bizalmasság, sértetlenség és rendelkezésre állás — mentén jár el. Jelen fejezetben foglalt részletszabályok az Információbiztonsági Szabályzatban kerülnek meghatározásra.

Bizalmasság

Az információkhoz kizárólag azok a személyek férhetnek hozzá, akik erre megfelelő jogosultsággal és üzleti indokkal rendelkeznek. Az adatkezelés során a hozzáférések elve a „legkisebb jogosultság" és a „szükséges tudás" elvén alapul, amelyet technikai és szervezeti intézkedésekkel támogatunk.

Sértetlenség

A tárolt, feldolgozott és továbbított információk pontosságát, teljességét és hitelességét meg kell őrizni. A Vector Csoport fejlesztési és üzemeltetési környezeteiben különösen előtérbe helyezi a sértetlenség megőrzését elősegítő intézkedéseket, az Információbiztonsági Szabályzatban meghatározott részletek szerint.

Rendelkezésre állás

A vállalat törekszik arra, hogy szolgáltatásai, rendszerei és adatai a szükséges időben és formában rendelkezésre álljanak. Ennek érdekében üzletmenet-folytonossági és katasztrófa-helyreállítási tervek készülnek, valamint rendszeres biztonsági mentések, redundáns infrastruktúra és monitoring folyamatok működnek az AWS felhő környezetben.

5. Kockázatkezelés

A vállalatcsoport az információbiztonsági kockázatokat központilag meghatározott metodológia alapján kezeli, a tagvállalatok részvételével. A vállalat rendszeresen azonosítja, értékeli és kezeli azokat a kockázatokat, amelyek az információk bizalmasságát, sértetlenségét vagy rendelkezésre állását veszélyeztethetik.

A kockázatkezelés fő elvei:

  • a kockázatok azonosítása strukturált és dokumentált módszertan alapján történik;
  • a kockázatkezelési intézkedések az ISO/IEC 27002:2022 kontrolljain alapulnak;
  • a kockázatokat rendszeresen felülvizsgáljuk, különösen technológiai vagy szervezeti változások esetén;
  • az elfogadott kockázatokat a vezetőség hagyja jóvá, és dönt a szükséges intézkedések erőforrásairól.

A csoportszintű kockázati profil évente felülvizsgálatra kerül, valamint minden jelentős változás (pl. új szolgáltatás, infrastruktúra, szervezeti átalakítás) esetén frissítésre kerül.

6. Erőforrások és támogatás biztosítása

A vezetőség elkötelezett amellett, hogy az információbiztonsági irányítási rendszer működtetéséhez és fejlesztéséhez szükséges minden erőforrást biztosítson. Ez magában foglalja:

  • az információbiztonsági technológiák (tűzfalak, titkosítás, endpoint védelem, naplózás) folyamatos korszerűsítését;
  • a megfelelő számú és képzettségű szakember alkalmazását;
  • a munkatársak rendszeres tudatossági képzését és vizsgáztatását;
  • a szükséges pénzügyi háttér biztosítását az auditok, tanúsítások és fejlesztések megvalósításához.

A vezetőség felelős azért, hogy a vállalat minden szintjén meglegyen az információbiztonsági célok eléréséhez szükséges kompetencia, motiváció és támogatás.

7. Információbiztonsági célkitűzések

A Vector Csoport évente meghatározza mérhető és elérhető információbiztonsági céljait, amelyek:

  • összhangban állnak az üzleti stratégiával és a kockázatkezelési eredményekkel;
  • a vezetőségi átvizsgálások során felülvizsgálatra kerülnek;
  • teljesülésüket kulcs teljesítménymutatókkal (KPI) mérjük (pl. munkavállalói teljesítménymutató).

Céljaink közé tartozik többek között az információbiztonsági incidensek számának csökkentése, az alkalmazottak biztonságtudatosságának növelése, valamint a szolgáltatások biztonsági szintjének folyamatos emelése.

8. Kommunikáció és tudatosság

A szervezet biztosítja, hogy minden munkavállaló tisztában legyen az információbiztonsági követelményekkel, és felelősségteljesen járjon el az adatok kezelése során.

A kommunikáció kiterjed:

  • a belső szabályzatok és eljárások ismertetésére;
  • rendszeres oktatásokra, tudásmegosztásra és e-learning anyagokra;
  • az incidensjelentési folyamatok ismertetésére.

A munkavállalókat arra ösztönözzük, hogy proaktívan jelezzék a biztonsági kockázatokat, és aktívan részt vegyenek a szervezet biztonsági kultúrájának fejlesztésében.

9. Folyamatos fejlesztés és teljesítményértékelés

A Vector Csoport az IBIR folyamatos fejlesztését alapelvként kezeli. A fejlesztés forrásai:

  • a belső és külső auditok megállapításai;
  • az incidensek elemzése és a helyesbítő intézkedések;
  • a munkavállalói és ügyfél-visszajelzések;
  • a vezetőségi átvizsgálások eredményei.

A vezetőség rendszeresen értékeli az IBIR hatékonyságát, és dönt a szükséges fejlesztési lépésekről annak érdekében, hogy a rendszer folyamatosan megfeleljen az üzleti céloknak, valamint az ISO/IEC 27001:2022 követelményeinek.

10. Felülvizsgálat és karbantartás

Az információbiztonsági politika legalább évente egyszer, illetve minden lényeges szervezeti, technológiai vagy jogszabályi változás esetén felülvizsgálatra kerül. A módosításokat az információbiztonsági vezető kezdeményezi, és a vállalat vezetősége hagyja jóvá.

11. Záró rendelkezések

A Vector Csoport meggyőződése, hogy az információbiztonság nem csupán a vezetőség felelőssége, hanem minden munkavállaló közös feladata és érdeke.

A szervezet célja, hogy minden érintett személy aktív részvételével olyan biztonságtudatos vállalati kultúra alakuljon ki, amely hosszú távon garantálja az ügyfelek bizalmát, a szolgáltatások megbízhatóságát és a szervezet jó hírnevét.

Vezetői elkötelezettségi nyilatkozat

(az ISO/IEC 27001:2022 szabvány szerinti Információbiztonsági Irányítási Rendszer bevezetéséhez és működtetéséhez)

A Vector Csoport vezetősége ezúton kijelenti, hogy teljes mértékben elkötelezett az információbiztonság folyamatos fejlesztése iránt, és ezzel összhangban támogatja az ISO/IEC 27001:2022 szabvány követelményein alapuló Információbiztonsági Irányítási Rendszer (IBIR) kialakítását, fenntartását és folyamatos fejlesztését az egész vállalatcsoportra kiterjedően.

A vezetőség elismeri, hogy az információk bizalmassága, sértetlensége és rendelkezésre állása alapvető érték, amely a vállalatcsoport megbízhatóságát, ügyfeleink bizalmát és üzleti folytonosságunkat biztosítja. Célunk, hogy minden tagvállalatunk azonos szintű biztonsági elvek mentén működjön, és megfeleljen a vonatkozó jogszabályi, szerződéses és szabványi követelményeknek.

A Vector Csoport vezetősége vállalja, hogy:

  • biztosítja az IBIR működtetéséhez és fejlesztéséhez szükséges pénzügyi, emberi, infrastrukturális és technológiai erőforrásokat;
  • meghatározza és jóváhagyja az információbiztonsági célokat, valamint rendszeresen felülvizsgálja azok teljesülését;
  • elősegíti a biztonságtudatos szervezeti kultúra kialakítását és fenntartását az egész vállalatcsoportban;
  • támogatja a munkavállalók folyamatos képzését, tudatosságát és részvételét az információbiztonsági folyamatokban;
  • biztosítja, hogy az információbiztonság integrált módon kapcsolódjon a vállalatcsoport stratégiai döntéseihez és üzleti céljaihoz;
  • példamutató magatartással megerősíti, hogy az információbiztonság mindenki közös felelőssége.

A vezetőség kinyilvánítja, hogy az Információbiztonsági Politika minden tagvállalat számára kötelező érvényű, és annak alapelveit, céljait és követelményeit a szervezet minden szintjén támogatja és betartja.