IT eszköz selejtezési szabályzat 2026: mi legyen kötelező benne?
Az IT eszköz selejtezési szabályzat egy belső szabályozó dokumentum, amely az informatikai eszközök és adathordozók életciklusának végén a biztonságos kivonást, adatmegsemmisítést és dokumentált lezárást írja le. 2026-ban a szabályzat tartalmát három forrás határozza meg: a GDPR (5., 32. cikk) adatbiztonsági alapelvei, a NIS2 (EU 2022/2555) irányelv ISMS-elvárásai (Magyarországon nemzeti átültetéssel), valamint az ISO/IEC 27001:2022 A.7.14 kontroll, amely a Physical controls témakörében az eszközök biztonságos selejtezését szabályozza. A szabályzat nélkül a megfelelőségi audit során az adathordozó-kezelés rendre az első hibatípusok közé kerül.
Legfontosabb megállapítások:
2026-ban egy IT eszköz selejtezési szabályzatnak ki kell terjednie minden adathordozóra, beleértve a mobiltelefonokat, hálózati eszközök perzisztens memóriáját és a leszerelt szerverek SSD-it is.
A szabályzat akkor működik, ha minden selejtezett tételhez chain of custody dokumentáció és megsemmisítési jegyzőkönyv tartozik, beszállító esetén pedig az alvállalkozói lánc is leírt.
Az auditok döntő többsége nem a megsemmisítés módszerét, hanem a dokumentáció hiányát és a hatály alól kicsúszó eszközöket (BYOD, lízingelt gép, raktározott tartalék) kifogásolja.
A magyar adatvédelmi hatósági gyakorlatban és a NAIH éves beszámolóiban visszatérő tanulság, hogy a nem aktív, leselejtezett, raktározott vagy elhagyott IT eszközök adatvédelmi kockázatot jelentenek — a kapcsolódó incidensek nem rendszerüzemeltetési, hanem életciklus-záró folyamati hiányosságokból fakadnak. Ezzel párhuzamosan az ISO 27001 2022-es revíziója önálló kontrollt rendelt a témához (A.7.14), a NIS2 pedig olyan kockázatkezelési intézkedéseket vár el, amelyekbe az eszközök életciklusa szervesen beletartozik. Ezek után 2026-ban egy szervezet — különösen, ha NIS2 hatálya alá tartozik vagy ISO 27001-tanúsított — nem támaszkodhat egy 4–5 éves selejtezési „eljárásrendre”. Konkrét tartalmi minimum kell.
Miért nem elég egy 2020-as szabályzat 2026-ban?
A legtöbb hatályos belső selejtezési szabályzat a 2017–2020 közötti GDPR-felkészülés idején született. Ezek jellemzően három pontot kezeltek: az adathordozó típusát, a megsemmisítés módját és a beszállító kijelölését. Az azóta eltelt időben három dolog változott:
Az eszközpark szerkezete átalakult. A vállalati flotta jelentős részében már SSD és NVMe meghajtók találhatók, a hagyományos winchesterek aránya csökken. Az SSD-knél az „alacsony szintű formázás” nem törlés — a wear leveling és a tartalék blokkok miatt csak kriptografikus törlés vagy fizikai megsemmisítés ad megfelelő bizonyosságot. A 2020-as szabályzatok többsége erre nincs felkészítve.
Az ISO/IEC 27001 megújult. A 2022-es verzió önálló kontrollként emeli ki az „eszközök biztonságos selejtezését vagy újrahasznosítását” (A.7.14), ami a 4 témaköri csoportból (organizational, people, physical, technological) a Physical controls (7-es csoport) része. Tartalmilag a 2013-as A.11.2.7 követelményével lényegében azonos, de a Statement of Applicability-ben (SoA) önálló kontrollként jelenik meg, ami az audit gyakorlatban explicit dokumentálási és bizonyítási kötelezettséget jelent.
A NIS2 keretében a felső vezetés személyes felelősségi köre kiterjed az ISMS-szintű kontrollok meglétére. Ha a kockázatértékelésben az adathordozó-megsemmisítés szerepel kontrollként, akkor azt dokumentált eljárással kell alátámasztani.
Egy 2020-as szabályzat ezeket a változásokat ritkán tudja követni egyszerű foltozással. Egy-két új bekezdés beillesztése formailag dokumentmódosításnak minősül, de tartalmi szinten ritkán fedi le az új kontroll-elvárásokat — auditori kérdésre a hatásvizsgálat és a verziókövetett struktúra hiánya jellemzően kiderül.
A kötelező tartalmi minimum: hét auditálható blokk
Az alábbi hét tartalmi blokkot egy 2026-os IT eszköz selejtezési szabályzatnak mind érdemes lefednie. Hiányzó blokk tipikusan auditori kérdést vagy megállapítást eredményez — a kontroll alkalmazhatóságát és bizonyíthatóságát az auditor a meglévő tartalom alapján méri, ezért a struktúra önmagában is bizonyíték.
1. Hatály és tárgyi kör. A szabályzat pontosan jelölje meg, milyen eszközökre vonatkozik: asztali és hordozható számítógépek, szerverek, mobiltelefonok, tabletek, hálózati eszközök (router, switch, tűzfal), nyomtatók (perzisztens memóriával), külső adathordozók, biztonsági mentés szalagok és optikai média. Külön ki kell térni a lízingelt eszközökre, a BYOD-konstrukcióra és a tartalékra raktározott gépekre. A három legtöbbet mulasztott terület audit-szempontból ez a három.
2. Felelősségi rend. A szerepköröket az auditori logika szerint érdemes szétbontani: policy owner (a szabályzat fenntartója, jellemzően az IT vezető vagy a CISO), process owner (a végrehajtási folyamat felelőse, tipikusan az IT operations vezetője), asset owner (az érintett eszköz nyilvántartási tulajdonosa), rendszergazda (azonosítás, fizikai kivonás), adatvédelmi tisztviselő vagy compliance officer (jogszabályi megfelelés ellenőrzése), belső auditor (a folyamat független ellenőrzése — ISO 27001 9.2 elvárás), pénzügy (állományi nyilvántartás), beszerzés (beszállítói szerződés). NIS2 hatálya alatt a felső vezetést is nevesítse a szabályzat az éves felülvizsgálati pontban. A compliance és a belső audit szerepkör tudatosan elkülönítendő — a belső audit függetlensége az ISMS tanúsítás alapelve.
3. Eszköz életciklus és kiváltó események. A szabályzat sorolja fel azokat az eseményeket, amelyek selejtezési folyamatot indítanak: amortizációs lejárat, meghibásodás, szoftveres elavulás (vendor support vége), lízing visszaadás, csere program, biztonsági incidens utáni karantén. Minden eseményhez tartozzon egy konkrét folyamatlépés-sor.
4. Adatmegsemmisítési módszerek és minősítésük. Itt érdemes a NIST SP 800-88 Rev.1 kategorizálását követni: Clear (validált logikai felülírás vagy gyártói reset úgy, hogy a felhasználó által címezhető adatterület szabványos eszközökkel ne legyen helyreállítható — egyszerű fájltörlés vagy gyorsformázás nem elég), Purge (gyártói sanitize parancs, kriptografikus törlés vagy mágneses média degausser), Destroy (fizikai megsemmisítés). A szabályzat eszköztípusonként és kockázati szintenként rendelje hozzá a megfelelő módszert. Egy minimális döntési mátrix:
HDD, alacsony kockázatú adat → Clear vagy Purge
HDD, magas kockázatú adat → Purge (degausser) vagy Destroy
SSD/NVMe, általános üzleti adat → gyártói sanitize parancs vagy hitelesített kriptografikus adattörlés
SSD/NVMe, különleges kategóriájú adat (GDPR 9. cikk) → kriptografikus törlés független validációval, vagy Destroy
Hibás, nem olvasható, vagy nem érvényesített SSD → Destroy
Mobiltelefon, tablet → gyártói factory reset titkosítás után (Purge), magas kockázatnál Destroy
A degausser kifejezetten mágneses adathordozóra (HDD, szalag) érvényes — SSD-nél hatástalan. A „különleges adat = Destroy” összerendelés kockázatkerülő alapértelmezés, nem szabványkényszer; a maradványkockázat megítélése szervezeti döntés.
5. Chain of custody és dokumentáció. Ez az audit-tapasztalat szerint a legtöbbet bukott pont. Minden selejtezett tételhez tartozzon: leltári azonosító, sorozatszám, eszköztípus, kivonás dátuma és felelőse, közbenső raktározás helye és időtartama, szállítási fázis felelőse és bizonylata (átadás-átvétel pillanata, lezárt szállítóeszköz, kísérőlevél), megsemmisítési bizonylat (jegyzőkönyv és tanúsítvány), végső megsemmisítés dátuma. A papíralapú átvételi elismervény önmagában nem elég — vissza kell vezethető legyen az állományi nyilvántartással és az ISMS eszköznyilvántartásával. A szállítási fázis felelősségi átadása a leggyakrabban kifelejtett dokumentációs lépés. A chain of custody dokumentumok megőrzési ideje a szervezet általános dokumentummegőrzési szabályzatához igazodjon — az ISO 27001 audit-ciklus (3 év) és a polgári elévülési idő (jellemzően 5 év) közül az erősebb keret a mértékadó.
6. Beszállító és alvállalkozói lánc. Ha a szervezet külső szolgáltatóval semmisítteti meg az adathordozókat, a szabályzat különítse el az alábbi szerződéses és minősítési elemeket: beszállító-minősítés kritériumai (tanúsítványok, bizonylati gyakorlat, telephelyi audit lehetőség), adatfeldolgozói szerződés (DPA, GDPR 28. cikk szerint, ha a beszállító személyes adatot tartalmazó eszközt kezel), alvállalkozó előzetes engedélyezése vagy értesítése, incidensértesítési határidő, auditjog (helyszíni vagy dokumentumalapú), bizonyítékformátum (jegyzőkönyv és tanúsítvány minimumadatai), valamint a láncolt felelősség kezelése. A NIS2 általános supply chain és incidensértesítési elvárásai erős érveket adnak ezen elemek mellé, a konkrét szerződéses tartalom azonban szervezet- és beszállító-specifikus.
7. Felülvizsgálat, képzés, kivételkezelés. A szabályzat évente egyszer kötelezően felülvizsgálandó. Tartalmazzon képzési előírást (kit, milyen gyakran, milyen tartalommal), incidenskezelési kapcsolódást (mikor lép át a folyamat az IBIR-be), valamint kivételkezelési eljárást (ki és milyen feltételek mellett engedélyezhet eltérést, hogyan dokumentálódik).
Jogszabályi és szabványalapok 2026-ban
A selejtezési folyamat kritikus pillanata: az adathordozó fizikai kivezetése a rendszerből, ahonnan a chain of custody dokumentáció indul.
A szabályzat hivatkozási alapját négy forrás adja:
GDPR 5. cikk (1) f) és 32. cikk — az integritás és bizalmas jelleg alapelve, valamint a biztonsági intézkedések általános elvárása (megfelelő technikai és szervezési intézkedések). A 25. cikk (beépített és alapértelmezett adatvédelem) is releváns, ha az eszközök biztonságos törlése a tervezésbe építetten történik. Megjegyzés: a GDPR 17. cikk (érintetti törléshez való jog) önmagában nem általános selejtezési kötelezettség, hanem érintett-kezdeményezett jog — ezért a selejtezési szabályzat alapját az 5. és 32. cikk adja.
NIS2 (EU 2022/2555) irányelv 21. cikk — kockázatkezelési intézkedések ISMS-keretben. Az adathordozó-kezelés explicit nincs nevesítve, de a (2) bekezdés a) pontja („kockázatelemzési és információs rendszerek biztonságára vonatkozó szabályzatok”) és h) pontja („kriptográfia és adott esetben titkosítás alapszabályai és eljárásai”) gyakorlatilag lefedi. A NIS2 magyar átültetése külön nemzeti jogszabályban él, az operatív elvárásokat ehhez kell igazítani.
ISO/IEC 27001:2022 A.7.14 — „Secure disposal or re-use of equipment”. A kontrollhoz a Statement of Applicability-ben dokumentált eljárás és bizonyíték kell.
NIST SP 800-88 Rev.1 — Guidelines for Media Sanitization. Nem kötelező Magyarországon, de a beszállítói jegyzőkönyvek és a belső módszertan referenciaként ezt használják.
A szabályzat szövegében ezekre kifejezetten hivatkozzunk, ne csak általánosan a „vonatkozó jogszabályokra”. Audit során a hivatkozás konkrétsága az első kérdés. A tipikus auditori kérdezési logika négy szintű: kockázatértékelés → kontroll alkalmazhatósága a Statement of Applicability-ben → dokumentált eljárás → végrehajtási bizonyíték. A szabályzat ennek a négyszintű nyomvonalnak a harmadik eleme — bizonyíték nélkül önmagában kevés, kockázatértékelési lehorgonyzás nélkül lebeg.
Érdemes a selejtezési szabályzatot a business continuity tervezéssel is összehangolni. Az ISO 27001:2022 két szomszédos kontrollja kapcsolódik: az A.5.29 az „information security during disruption” (információbiztonság zavarhelyzetben), az A.5.30 pedig az „ICT readiness for business continuity” (ICT-felkészültség az üzletmenet-folytonosságra). Ezek keretében a tartalékként megőrzött eszköz és a selejtezésre váró eszköz tudatos megkülönböztetése elvárás. Egy DR-teszt során kivett tartalék gép, amely utána a selejtezési sorba kerül, dokumentált átminősítést igényel.
Audit szempontból gyakran bukó pontok
Tapasztalati alapon — belső auditok és tanúsítási megújítások visszatérő megállapításai alapján — három területen bukik el leggyakrabban a szabályzat:
Hatály alól kicsúszó eszközök. A leggyakoribb: BYOD telefonok, lízing visszaadás előtti adattörlés dokumentálatlansága, illetve a 6–18 hónapja raktározott tartalék gépek („majd lesz vele valami”) kategóriája. A szabályzatban ezeknek külön bekezdés jár.
Hiányos chain of custody. A megsemmisítési tanúsítvány önmagában nem elég, ha az átadás és a végső megsemmisítés között eltelt napokat senki nem dokumentálta. Az auditor jellemzően egy random kiválasztott eszköznél kéri végigkövetni a folyamatot az állományi nyilvántartástól a tanúsítványig.
Beszállítói szerződés gyengeségei. Ha a szabályzat előírja az alvállalkozói lánc dokumentálását, de a szerződésben erre vonatkozó audit jog vagy értesítési kötelezettség nincs, az ellentmondást az auditor jelzi.
Egy belső önaudit, amely ezt a három területet külön ellenőrzi, jellemzően több hibát talál, mint a fő selejtezési folyamat technikai részletei.
Mikor érdemes átírni a szabályzatot?
Konkrét triggerek 2026-ban:
ISO 27001 átállás 2013 → 2022 verzióra. Ha a szervezet tanúsítványa még a 2013-as kontroll-rendszerre épül, a megújításnál az A.7.14 új struktúrája kötelezi az átírást.
NIS2 hatálya alá kerülés. Ha a szervezet 2024–2025-ben került hatály alá (új ágazati besorolás vagy méretváltozás miatt), a meglévő szabályzat valószínűleg nem fedi a vezetői felelősség és a beszállító-felügyelet új elvárásait.
Nagyobb eszközcsere program. Egy laptop- vagy szerverpark cseréje előtt a szabályzat felülvizsgálata olcsóbb, mint utólag rekonstruálni a chain of custody-t.
Incidens vagy közeli incidens. Ha az elmúlt 12 hónapban előfordult olyan eset, amikor egy raktározott vagy átadott eszközön talált adat miatt belső vizsgálat indult, a szabályzat ráadásul teszteltség-bizonyítékként is kell.
A szabályzat átírása önmagában 2–4 hét munkája a folyamatok komplexitásától függően. Ennek többszörösét teszi ki a hozzá tartozó eszközleltár-tisztítás és a beszállítói szerződések felülvizsgálata, amely a tényleges átfutási idő gerincét adja. Ha külső szakértői támogatást keresel a megsemmisítési folyamat és a kapcsolódó dokumentáció kialakításához, kérj ajánlatot egy átvilágítási és tanúsítható megsemmisítési csomagra.
Gyakori kérdések
Kötelező-e külön IT eszköz selejtezési szabályzat 2026-ban?
Magyar jogszabály nem nevesíti külön kötelezőként, de az ISO/IEC 27001:2022 A.7.14 kontroll dokumentált eljárást vár el, és NIS2 hatály alatt a kockázatkezelési intézkedések alátámasztása is dokumentált belső szabályozást igényel. A gyakorlatban audit szinten kötelező.
Mi a különbség az adatkezelési szabályzat és az IT eszköz selejtezési szabályzat között?
Az adatkezelési szabályzat az adatok jogalapját, kezelési céljait és érintetti jogokat szabályozza. Az IT eszköz selejtezési szabályzat az eszközök életciklusának végén a fizikai és logikai folyamatot, a felelősöket és a dokumentációt írja le. A kettő egymásra hivatkozik, de nem helyettesíti egymást.
Ki a felelős a selejtezési szabályzat betartásáért NIS2 alatt?
A NIS2 irányelv (EU 2022/2555) és annak magyar átültetése keretében a felső vezetés személyes felelőssége a kockázatkezelési intézkedések megléte és érvényesülése. Az operatív végrehajtás jellemzően az IT vezető, a független ellenőrzés a belső auditor, a folyamatos megfelelőség-figyelés a compliance vagy adatvédelmi tisztviselő hatáskörébe esik.
Milyen jegyzőkönyv kötelező egy adathordozó megsemmisítéséről?
Általános szabványkövetelmény nincs a jegyzőkönyv pontos formájára, de az audit-elvárt minimumtartalom: a tétel egyedi azonosítói (sorozatszám, leltári szám), a megsemmisítés módja és minősítése (Clear/Purge/Destroy), dátum, helyszín, a végrehajtó megnevezése, valamint — ha a belső szabályzat vagy a beszállítói szerződés előírja — kísérő/ellenőrző fél vagy tanú megjelölése. Beszállítónál az alvállalkozói lánc visszakövethetőségét is biztosítani kell.
Hogyan kezeli a szabályzat a BYOD-eszközöket?
A szabályzatnak rendelkeznie kell az olyan eszközök adattörlési és kivonási folyamatáról, amelyek munkavállalói tulajdonban vannak, de céges adatot tárolnak. Tipikus megoldás: MDM-alapú remote wipe a munkaviszony megszűnésekor, dokumentált igazolás a folyamat lefutásáról, és érintetti tájékoztatás. A szabályzat térjen ki arra is, mi a teendő, ha a remote wipe nem érvényesíthető (eszköz offline, elveszett, vagy a felhasználó nem működik együtt) — ilyenkor incidenskezelési és adatvédelmi kockázatértékelési folyamat indul; NAIH és érintetti bejelentés akkor szükséges, ha a GDPR szerinti kockázati küszöb teljesül.
Évente hányszor kell felülvizsgálni a szabályzatot?
Minimum évente egyszer, valamint minden olyan eseménynél, amely érdemben befolyásolja a folyamatot: jogszabályváltozás, ISMS audit megállapítás, jelentős eszközcsere, beszállítóváltás, vagy adathordozóval kapcsolatos biztonsági incidens.
Külső források
ISO/IEC 27001:2022 — Az információbiztonsági irányítási rendszer szabványa, az A.7.14 kontroll explicit eljárást vár el az eszközök biztonságos selejtezésére.
Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — Az 5. cikk (1) f) (integritás és bizalmas jelleg), a 25. cikk (beépített és alapértelmezett adatvédelem), a 32. cikk (az adatkezelés biztonsága) és a 28. cikk (adatfeldolgozóra vonatkozó követelmények) közvetlenül kapcsolódik a selejtezési folyamat jogalapjához.
TISAX audit IT eszközök: selejtezés és beszállítói felelősség
A TISAX audit során az autóipari beszállítónak bizonyítania kell, hogy az IT eszközök és adathordozók selejtezése kontrollált, dokumentált és a VDA ISA 6.0 követelményrendszeréhez illeszkedik. A VDA ISA 6.0 supporting assets és supplier relationships kontrolljai, az ISO/IEC 27001:2022 A.7.10 és A.8.10 kontrolljai, valamint a NIST SP 800-88 Rev. 2 (2025-09) együtt adják az auditban releváns bizonyíték- és kontrollterületet. A folyamat eszközszintű sanitization vagy destruction record nélkül nem védhető — egy TISAX assessor jellemzően ezt a bizonyítékot keresi.
Legfontosabb megállapítások:
A TISAX assessor az IT eszközök selejtezésénél nemcsak a szabályzatot, hanem az eszközleltárt, a védelmi igény szerinti döntést és a végrehajtási bizonyítékokat is vizsgálja.
A VDA ISA 6.0 beszállítói kontrolljai alapján az alvállalkozó adatmegsemmisítési szolgáltató információbiztonsági szintjét kockázatalapon kell értékelni és szerződésben rögzíteni.
A tanúsított törlési vagy megsemmisítési igazolás akkor használható auditbizonyítékként, ha az eszközazonosító, módszer, dátum, felelős fél és őrzési lánc visszakövethető.
Egy TISAX assessment során gyakori helyzet, hogy a beszállító részletesen bemutatja az ISMS szabályzatait, a hozzáférés-kezelést és az incidenskezelési folyamatot, majd az assessor rákérdez egy kevésbé látványos pontra: mi történik a fejlesztői notebookkal, a tesztlaborból kivont SSD-vel, a prototípusprojekthez használt mobiltelefonnal vagy a régi fájlszerver lemezeivel, amikor kikerülnek a használatból. Ilyenkor az IT eszköz életciklusának végjelenete kerül az audit fókuszába.
TISAX auditnál az IT eszközök kezelése nem áll meg az üzemeltetésnél. A selejtezés, a felújításra küldés, a visszavétel, a szoftveres törlés, a lemágnesezés és a fizikai megsemmisítés mind olyan pont, ahol autóipari információ, prototípusadat, személyes adat vagy OEM-szintű bizalmas dokumentáció kerülhet ki ellenőrizetlenül a szervezetből. Egy TISAX assessor jellemzően nem várja el, hogy minden adathordozót automatikusan meg kelljen semmisíteni — a döntésnek viszont kockázatalapúnak, dokumentáltnak és eszközszinten bizonyíthatónak kell lennie.
Miért auditkérdés az IT eszközök életciklusának vége?
Az autóipari beszállítói környezetben egy leselejtezett eszköz ritkán csak technikai hulladék. Tartalmazhat rajzokat, beszállítói árakat, mérési eredményeket, gyártási paramétereket, hibaanalíziseket, prototípusfotókat, vevői kapcsolattartók adatait, VPN-konfigurációkat vagy mentési maradványokat. A kockázat nem az eszköz könyv szerinti értékéhez, hanem a rajta tárolt információ védelmi igényéhez kapcsolódik.
A VDA ISA 6.0 logikája szerint az információs vagyon és az azt feldolgozó támogató eszközök összekapcsolódnak. A notebook, SSD, mobiltelefon, USB-adathordozó, szerverlemez vagy papíralapú dokumentáció nem önmagában érdekes, hanem azért, mert információt hordoz, és az információ védelmi igénye átszáll az adathordozóra is. Ez a gyakorlatban azt jelenti, hogy az eszközselejtezési folyamatnak kapcsolódnia kell az információosztályozáshoz, az eszközleltárhoz, a hozzáférés-kezeléshez és a beszállítói kockázatkezeléshez.
Az assessor általában nem elégedik meg egy általános „selejtezési szabályzat létezik” válasszal. A kérdés inkább az, hogy egy konkrét eszköz útja visszakövethető-e: ki minősítette, milyen adat volt rajta, milyen törlési vagy megsemmisítési módszer mellett döntöttek, ki vitte el, hol tárolták átmenetileg, ki végezte el a műveletet, és milyen igazolás maradt róla.
TISAX scope, label és assessment szintek
A TISAX assessment-rendszerben a beszállító nem általában „TISAX-tanúsítást” szerez, hanem konkrét assessment objective-okra vonatkozó label-ek érhetők el. A leggyakoribbak: Confidential és Strictly Confidential (információosztályozás szerint), High availability és Very high availability (rendelkezésre állás szerint), Proto Parts / Proto Vehicles / Test Vehicles / Proto Events (prototípusvédelem négy különböző scope-ja), valamint Data és Special Data (személyes és különleges adatkezelés). Az adott label határozza meg, hogy a VDA ISA 6.0 katalógusból melyik kontrollok érintettek és milyen mélységben vizsgálandók — ezért az IT eszköz selejtezésével kapcsolatos elvárás is a label-től függ.
Az assessment szintek (AL) a vizsgálati módszertant adják meg, nem minőségi címkék.
Assessment Level 1 alapvetően belső önértékelésre épül; az audit provider legfeljebb az önértékelés meglétét ellenőrzi, a tartalmat érdemben nem vizsgálja. Az ENX TISAX Participant Handbook szerint az AL1 eredmény alacsony bizalmi szintű, ezért TISAX label kiadásra ritkán használják.
Assessment Level 2 dokumentum-alapú plauzibilitás-vizsgálat: az audit provider a kitöltött VDA ISA önértékelés mellé bizonyítékokat (eszközlista, selejtezési jegyzőkönyv, törlési riport, megsemmisítési igazolás, beszállítói szerződés, kockázatértékelés) kér, és kiegészítő interjút készít az információbiztonságért felelős személlyel. Az interjú tipikusan távoli formában zajlik, de a hangsúly a benyújtott bizonyítékok érvényességén van. Ha bizonyos bizonyítékokat a beszállító nem tud távoli formában megosztani (eyes-only evidence), AL2-n belül helyszíni betekintés is kérhető. Létezik AL2.5 opció is, amely teljes körű remote assessment AL3-kompatibilis módszertannal, helyszíni aktivitások nélkül.
Assessment Level 3 a teljes körű audit: dokumentumellenőrzés, folyamatgazdákkal készített interjúk, helyszíni szemrevételezés és a folyamat tényleges végrehajtásának vizsgálata. Az auditor mintát vehet (jellemzően n=10-30 eszköz), és kérheti, hogy a beszállító az eszközleltártól a megsemmisítési igazolásig végigkövesse a kiválasztott tételeket. Az AL3 alatt ezért nem elméleti kérdés, hogy van-e zárt gyűjtő, elkülönített selejtezési terület, átadás-átvételi rend vagy látogatói kontroll.
A TISAX eredményeket a beszállító az ENX exchange portálon keresztül osztja meg az OEM-mel vagy más tier-1 partnerrel. Az exchange a már elvégzett TISAX assessmentek megosztására szolgál — nem helyettesíti a beszállító saját kockázatkezelését, szerződéses kontrolljait vagy a saját alvállalkozói felé támasztott elvárásait.
VDA ISA 6.0 kontrollok: hol jelenik meg az adathordozó-megsemmisítés?
A VDA ISA 6.0 három fő assessment-katalógusa az Information Security, a Prototype Protection és a Data Protection. A beszállítói kapcsolatok kezelése (Supplier Relationships) az Information Security katalóguson belül kapott önálló kontrollkört — a régi VDA ISA 5.x „Connection to Third Parties” terminust felváltotta. IT eszközök selejtezésénél ezek a katalógusok egyszerre érintettek.
Selejtezésre előkészített adathordozók munkapadon — VDA ISA 6.0 szerinti eszközleltár alapja.
Az Information Security katalógusból az eszközéletciklus végéhez közvetlenül kapcsolódó kontrollok: 1.3.1 information assets és supporting assets azonosítása és felelős hozzárendelése; 1.3.2 handling specifications a supporting assets-re (transport, storage, return, deletion/disposal); 3.1.3 handling of supporting assets a teljes életcikluson keresztül — high protection needs esetén a relevant standards (pl. ISO/IEC 21964 Security Level 4 vagy magasabb) szerinti megsemmisítés elvárás; 3.1.4 mobile IT devices és mobil adathordozók kontrolljai (encryption, access protection, marking, registration); 5.3.3 information assets visszavétele és secure removal külső IT szolgáltatásból; 6.1.1 Supplier Relationships — alvállalkozói kockázatértékelés, szerződéses kötelezettségek, verifikáció.
A Prototype Protection katalógus a customer-provided vehicles, components és parts védelmére fókuszál, és kiegészül a digitális prototípusadat-kezelési kontrollokkal. Releváns kontrollok az IT eszköz életciklusra: 8.2.2 subcontractor commissioning customer approval és NDA mellett; 8.2.6 image material (prototípusfotók, videók) secure deletion és disposal; 8.2.7 mobile photo és video devices kezelése security areas-ban. Fontos megjegyezni, hogy a Proto Parts / Proto Vehicles / Test Vehicles / Proto Events scope nem azonos a prototípusadatot tartalmazó IT-adathordozók kezelésével — utóbbi az Information Security katalógus mobile devices kontrolljai alá esik, de OEM-specifikus elvárás (BMW Group Standard, VW 80101/80102, Audi/Porsche prototípusvédelem) párhuzamosan érvényesülhet.
A Data Protection katalógus akkor válik assessment objective-ként relevánssá, ha a beszállító GDPR 28. cikk szerinti adatfeldolgozói pozícióban kezel ügyféladatot, vagy különleges kategóriájú adatot érint. A 9.5.2 kontroll itt az alvállalkozói és kooperációs partneri szerződéses kötelezettségeket és compliance review-t várja el. Önmagában a HR-adat vagy beléptető rendszer napló jelenléte a beszállítónál nem aktiválja automatikusan a Data label-t TISAX scope-ban.
ISO/IEC 27001:2022 A.7.10 és A.8.10 kapcsolata a TISAX kontrollokkal
Az ISO/IEC 27001:2022 Annex A kontrolljai jó hivatkozási pontot adnak a TISAX-felkészítéshez, de nem helyettesítik a VDA ISA 6.0 szerinti önértékelést. A kontrollok gyakorlati tartalmát az ISO/IEC 27002:2022 implementation guidance fejti ki, amely a TISAX-bizonyítékok kialakításához is referenciaként használható.
Az A.7.10 Storage media kontroll a tárolóeszközök védelméről szól a teljes életciklus alatt: használat, tárolás, szállítás, újrahasználat és selejtezés kontrollált kezelése. TISAX-környezetben ez közvetlenül megfeleltethető a VDA ISA 6.0 1.3.2 (handling specifications) és 3.1.3 (handling of supporting assets) kontrolljainak.
Az A.8.10 Information deletion kontroll azt várja el, hogy a már nem szükséges információt töröljék az információs rendszerekből, eszközökről és egyéb tárolókról. Ez nem azonos a felhasználói fájltörléssel. A compliance szempontból védhető eljárásnak ki kell térnie arra, hogy milyen típusú adathordozón milyen módszer elfogadható, ki hagyja jóvá a végrehajtást, és hogyan igazolják, hogy a törlés vagy megsemmisítés megtörtént.
A két ISO kontroll együtt adja az alapot a TISAX-ban elvárt működéshez: a tárolóeszköz kontrollált kezelése és az információ visszaállíthatatlanná tétele nem külön folyamat, hanem ugyanannak az életciklusnak két oldala. Ha a szervezet ISO/IEC 27001:2022 szerinti ISMS-t működtet, a TISAX felkészítésnél célszerű a storage media és information deletion bizonyítékokat közvetlenül összekötni a VDA ISA kontrollkérdéseivel — különösen az 1.3.1, 1.3.2, 3.1.3, 3.1.4, 5.3.3 és 6.1.1 kontroll-azonosítókkal.
NIST SP 800-88 Rev. 2: Clear, Purge, Destroy és a döntés bizonyíthatósága
A NIST SP 800-88 Rev. 2 2025-09-26-án jelent meg végleges formában, és leváltotta (superseded) a Rev. 1-et (2014-12-17). A kiadvány médiatisztítási programok kialakításához ad iránymutatást — a módszer kiválasztását az adatok érzékenységéhez, az adathordozó típusához és a további felhasználási célhoz köti, és Verification (4.5.1) + Validation (4.5.2) lépést is elvár.
Őrzési lánc dokumentálása zárt szállítóládával — TISAX-ban auditálható átadás-átvételi pont.
A NIST szemléletében három fő kategória használható: Clear (3.1.1), Purge (3.1.2) és Destroy (3.1.3). A Clear logikai törlési vagy felülírási eljárás, amely normál hozzáférési módszerekkel megakadályozza az adatok visszanyerését. A Purge fejlettebb helyreállítási kísérletekkel szemben is védelmet céloz — például cryptographic erase, megfelelő coercivity-illesztésű degausser mágneses média esetén, vagy hardver-támogatott sanitize parancs. A Destroy a fizikai megsemmisítés (mechanikai szeletelés, darabolás, aprítás, incineration). A Rev. 2 a degaussingot kizárólag mágneses adathordozóra (HDD, mágnesszalag) ismeri el, és nem általános Destroy technika — SSD-re és flash-alapú médiára nem alkalmazható.
TISAX szempontból a Destroy nem „jobb” minden esetben, hanem akkor megfelelő döntés, ha a kockázat és a további eszközsors ezt támasztja alá. SSD és NVMe esetén az egyszerű overwrite-alapú Clear nem elégséges általános állításként — a wear leveling és overprovisioning miatt az overwrite parancs nem éri el a teljes flash-kapacitást, ezért a NIST Rev. 2 ezeket az adathordozó-osztályokat további szabványokra (IEEE 2883, NSA/CSS előírások, gyártói specifikációk) tereli. A megfelelő útvonalra példák: validált hardver-támogatott sanitize parancs (mint az NVMe Format with Secure Erase vagy ATA Secure Erase Enhanced), cryptographic erase ahol a kulcskezelés ellenőrizhető, vagy fizikai megsemmisítés — minden esetben az adott eszköz és firmware támogatásának konkrét validációja mellett.
A NIST kiadvány Appendix C mintát ad a Certificate of Sanitization tartalmára (eszközazonosító, módszer, validáció eredménye, felelős aláíró). A TISAX assessor jellemzően nem TISAX-formalizált sablont, hanem az Appendix C logikájával megfeleltethető, eszközszintű sanitization vagy destruction record-ot keres. A beszállítónak tudnia kell megmutatni a döntési logikát: mikor választ Clear-t, mikor Purge-t (cryptographic erase, secure erase, degausser mágneses médiára), mikor fizikai Destroy-t — és hogyan kezeli azt az esetet, amikor a Clear/Purge technikailag nem validálható.
Mit vár el az assessor az eszközszintű sanitization record-tól?
A TISAX nem ír elő formális TISAX-certificate-of-sanitization sablont — az assessor jellemzően olyan eszközszintű sanitization vagy destruction record-ot vár, amely tartalmában megfeleltethető a NIST 800-88 Rev. 2 Appendix C logikájának. A „tanúsított igazolás” magyar gyakorlatban lehet a szolgáltató saját jegyzőkönyve, ISO/IEC 21964 (a DIN 66399 nemzetközi megfelelője) szerinti megsemmisítési tanúsítvány vagy ezek kombinációja — a tartalom a döntő, nem a fejléc.
Egy auditban használható record tartalmazza legalább az eszköz vagy adathordozó azonosítóját (gyári szám, eszközleltári szám, vonalkód), az alkalmazott módszert (Clear/Purge/Destroy kategória + konkrét eljárás: szoftveres törlés, cryptographic erase, secure erase parancs, lemágnesezés mágneses médiánál, mechanikai szeletelés vagy aprítás), a dátumot, helyszínt, végrehajtó szervezetet, felelős személyt vagy gépi azonosítót, a végrehajtás eredményét (Verification + Validation a NIST szerint) és az esetleges kivételeket. Ha egy adathordozó nem törölhető, ezt nem szabad elrejteni — külön státuszt és kockázatalapú további intézkedést kell kapnia.
Az őrzési lánc (chain of custody) dokumentálása párhuzamos elvárás. Az assessor azt vizsgálja, hogy az eszköz nem tűnt-e el a folyamat közben, nem került-e ellenőrizetlen szállításba, és nem volt-e olyan átmeneti tárolás, ahol jogosulatlan hozzáférés történhetett. Az őrzési lánc minimális tartalma: átadó és átvevő neve, időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy zárt tartály azonosító, mennyiségi egyeztetés és eltéréskezelés módja.
AL3 audit alatt az assessor kockázatalapú mintát vehet, és kérheti, hogy a beszállító az eszközleltártól a sanitization record-ig végigkövesse a kiválasztott tételeket. Belső felkészülésnél érdemes egy 10-30 eszközből álló minta végigkövethetőségére készülni, de a tényleges mintaszám az audit provider mérlegelésén múlik. Hiánykezelési eljárás (eltérésjegyzőkönyv 24-48 órán belül, corrective action plan a Major non-conformity-knél jellemzően 90 napon belül) megléte ezért kulcs eleme a felkészülésnek.
Beszállítói lánc: az alvállalkozói IT biztonsági szint felelőssége
A TISAX nem zárul le a vállalat kapujánál. A VDA ISA 6.0 6.1.1 Supplier Relationships kontrollja elvárja, hogy a szervezet kockázatalapon értékelje a vállalkozókat és együttműködő partnereket, szerződésben rögzítse az információbiztonsági elvárásokat, és verifikálja azok teljesülését. Ez közvetlenül érinti az IT eszközök selejtezésébe bevont külső szolgáltatókat.
A beszállítói kockázat mértéke attól függ, ténylegesen mihez fér hozzá az alvállalkozó: csak már zárt vagy előkezelt elektronikai hulladékhoz, vagy magas védelmi igényű információhoz, prototípushoz, illetve személyes adathoz tartalmazó működő adathordozóhoz. Ha az alvállalkozó az utóbbi kategóriába esik, akkor nem elegendő egy általános megrendelés — a szerződésnek kezelnie kell a titoktartást, az adatkezelési szerepeket (GDPR 28. cikk szerinti adatfeldolgozói pozíció, ha releváns), az alvállalkozói lánc továbbadását, az eszközök átadásának rendjét, a sanitization módszereket, a dokumentációs elvárásokat és az auditjogot vagy bizonyítékbekérési jogot. A VDA ISA 6.0 9.5.2 Data Protection kontroll külön elvárja a personal data feldolgozásával kapcsolatos szerződéses kötelezettségeket.
Az assessor itt gyakran keres mintát: hogyan választották ki az adatmegsemmisítési szolgáltatót (kockázatértékelés bizonyítéka), milyen igazolás vagy tanúsítás támasztja alá a szolgáltató alkalmasságát (ISO/IEC 27001 tanúsítvány, ISO/IEC 21964 megsemmisítési minősítés, TISAX label, vagy ezek hiányában explicit kontrollteszt), és hogyan ellenőrzi a beszállító a szolgáltatási riportokat. Ha a szervezet csak a számlát és egy darabszámot tud felmutatni, az gyenge bizonyíték. Eszközszintű lista, átadási dokumentáció, sanitization record és eltéréskezelés együtt már auditálhatóbb alap.
Fontos korlát: a TISAX nem mondja ki automatikusan, hogy minden saját beszállítónak ugyanazt a TISAX label-t kell megszereznie. A beszállítónak viszont bizonyítania kell, hogy a külső szolgáltatás igénybevétele nem vezet be kezeletlen információbiztonsági kockázatot — magasabb védelmi igényű scope (Strictly Confidential vagy Proto Vehicles) esetén az ENX exchange portálon megosztott TISAX label vagy tanúsított ekvivalens szerződéses elvárás lehet.
Gyakorlati felkészülési lista TISAX előtt
Az első lépés az eszközleltár és az információosztályozás összekötése. A selejtezésre kerülő IT eszköznél legyen megállapítható, hogy milyen információs vagyonhoz kapcsolódott, milyen védelmi igény vonatkozott rá, és ki a felelős tulajdonos. Enélkül a törlési vagy megsemmisítési döntés utólag nehezen védhető.
Második lépésként legyen jóváhagyott módszerválasztási mátrix. Ez határozza meg, hogy HDD, SSD, mobiltelefon, memóriakártya, szerverlemez, mentési adathordozó vagy papíralapú dokumentáció esetén milyen módszer alkalmazható normál, magas vagy nagyon magas védelmi igénynél. A mátrix térjen ki a sérült, nem olvasható vagy titkosított eszközökre is.
Harmadik lépés a bizonyítékcsomag előkészítése. Egy assessor számára célszerű előre összeállítani egy mintacsomagot: selejtezési szabályzat, eszközlista, jóváhagyási rekord, átadás-átvételi jegyzőkönyv, őrzési lánc dokumentáció, tanúsított törlési vagy megsemmisítési igazolás, szolgáltatói kockázatértékelés és szerződéses kivonat. Nem a dokumentum mennyisége számít, hanem az, hogy egy konkrét eszköz végigkövethető legyen a döntéstől a végrehajtásig.
Negyedik lépésként kezelni kell az eltéréseket. Ha egy adathordozó hiányzik, nem azonosítható, nem törölhető vagy a darabszám eltér, annak legyen incidens- vagy eltéréskezelési útja. Az autóipari compliance gyakorlatban a kontrollált eltérés jobb, mint az utólag nem magyarázható csend.
Végül érdemes a TISAX felkészítés során próbainterjút tartani az IT, compliance, beszerzés, létesítményüzemeltetés és adatvédelmi felelős bevonásával. Az eszközselejtezés tipikusan több szervezeti egységet érint, és az assessor gyorsan látja, ha a folyamat csak az egyik területen ismert.
A külső szolgáltató kiválasztásakor a beszállító kérjen eszközszintű sanitization vagy destruction record-ot, dokumentált őrzési láncot és eltéréskezelési eljárást — a TISAX assessment oldaláról ezek a bizonyítékok illeszthetők a VDA ISA 6.0 ellenőrzéseihez. TISAX felkészítéshez használható selejtezési és adathordozó-kezelési ajánlatkérés.
Gyakori kérdések
Kötelező minden leselejtezett IT eszközt fizikailag megsemmisíteni TISAX alatt?
Nem. A módszert a védelmi igény, az adathordozó típusa, az eszköz további sorsa és a vevői követelmények alapján kell kiválasztani és dokumentálni.
Mit jelent az őrzési lánc az adathordozó-megsemmisítésnél?
Az őrzési lánc azt dokumentálja, hogy az eszköz mikor, kitől, kinek, milyen azonosítóval és milyen kontrollált körülmények között került átadásra, tárolásra, szállításra és megsemmisítésre.
Elfogadható auditbizonyíték egy darabszámos megsemmisítési igazolás?
Önmagában gyenge bizonyíték, ha nem köthető konkrét eszközazonosítókhoz. TISAX felkészítésnél eszközszintű vagy adathordozó-szintű visszakövethetőségre van szükség.
Hogyan kapcsolódik a NIST SP 800-88 Rev. 2 a TISAX audithoz?
A NIST SP 800-88 Rev. 2 nem TISAX szabvány, de elismert módszertani referencia a Clear, Purge és Destroy kategóriákhoz, ezért segít a törlési és megsemmisítési döntések indoklásában.
Mit kell ellenőrizni egy külső adatmegsemmisítési szolgáltatónál?
Kockázatalapon vizsgálni kell a szerződéses kötelezettségeket, titoktartást, alvállalkozók kezelését, őrzési láncot, tanúsított jegyzőkönyvezést és a szolgáltatási riportok ellenőrizhetőségét.
NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
