Oláh Tamás (EUROCERT, információbiztonsági auditor):

 

 

Katasztrófák

(Az információbiztonság gyakorlati területei: Katasztrófák – kategóriák, főbb jellemzők)

 

Az információbiztonsági szabvány (általában ISO 27001, ill. az ez idő szerint aktuális változat: az MSZ ISO/IEC 27001:2014) megértésében, alkalmazásában segítséget jelentett az „információbiztonság gyakorlati területei” fogalom létrehozása. (lásd jegyzet 1)

A gyakorlati területeket (lásd jegyzet 2) – több-kevesebb részletességgel – a szabványváltozatok is érintik. Pontosabban, jelzik a követelménytámasztás igényét az adott területeken, de – természetesen, mivel minden szervezet/információbiztonsági rendszer más és más – a szabvány a területeket nem tematizálja és nem határoz meg konkrét intézkedéseket.

Viszont az információbiztonsági rendszereket üzemeltetők számára fontos az ismeretük, hogy ne hozzanak létre redundáns, drága, túlszabályozott rendszereket, ill. ennek ellentéteként, hogy ne maradjanak ki szabályozandó területek.

Rövidebben: a rendszer komplex és hatékony szemléletmódjához.

A területek közül az első négyre jellemző, hogy vannak a gyakorlatban bevált szabályozások és ezen szabályozásoknak szakemberei (akikre az információbiztonsági vezető tud támaszkodni). (lásd jegyzet 3)

Az ötödik területre (katasztrófák) a szervezetek (és ennek megfelelően az információbiztonsági rendszereik sem) rendelkeznek kialakított posztokkal, beosztásokkal és így kialakult szabályozási eljárásokkal, szakmai hagyományokkal. (lásd jegyzet 4)

 

Kategóriák

 

Tehát, a katasztrófák elemzésének és kockázatuk kiértékelésének egy szervezetben nincs hagyománya és szakembere. Ez érthető, mert a közelmúltig a „gyakorisága” is kevés volt a katasztrófáknak. Az relatív, hogy mit nevezünk közelmúltnak és kevésnek, de megfigyelhető, hogy egyre több olyan „dolog” fordul elő, ami „régen” nem volt.

Mivel a szervezetek nagy részében továbbra sem lesz lehetőség főállású meteorológus vagy politológus, stb. alkalmazására, a katasztrófákkal kapcsolatos kérdéseket az információbiztonsági vezető fogja koordinálni. Természetesen ezen a (gyakorlati)területen is lehetősége van (szükséges is!) segítség igénybevételére. Tűzvédelmi felelős, munkavédelmi felelős minden szervezetnél van. Már ma sem ritka, hogy szervezetek meteorológiai előrejelzéseket, szociológiai értékeléseket rendelnek meg (bár, inkább csak üzleti célból). A politológusoknak és további speciális szakembereknek – a szervezetre kialakított – tanulmányai a közeljövőben tagozódnak be ebbe a sorba. Az üzleti indokok kiegészülnek az információbiztonsági indokokkal is. (lásd jegyzet 5)

Amennyiben haladni akarunk a korral szükséges tematikus rendbe gyűjteni, hogy milyen eseményeket/behatásokat sorolunk a katasztrófák körébe (ezzel segítve az információbiztonsági vezető munkáját).


 

 

Elemi károk

- Tűz

- Víz (páratartalom, korrózió)

- Szennyvíz (fertőzés is)

- Levegő (szél, szennyezettség)

- Sugárzás (nap, hő, ill. egyéb sugárzás – beleértve az elektromágneses (EMC) ki-, és besugárzásokat)

- Talaj (szerkezete, szennyezettsége)

- Betegségek (fertőzések)

 

Természeti csapások

- Tűzvész

- Áradás

- Légszennyezés

- Extrém időjárási viszonyok (viharok, kánikula, fagyok hatásai)

- Földrengés

- ABV expozíciók (lásd jegyzet 6)

 

Társadalmi katasztrófák

- A szervezeten belüli elégedetlenség (eltérő politikai, vallási, kulturális nézetek; nemek közötti feszültségek; eltérő nemi identitásból eredő feszültségek; az erős-gyenge problémája; stb.)

- Általános társadalmi elégedetlenség (sztrájk, blokád, szabotázs vagy terror (lásd jegyzet 7) cselekmények).

- Erőszakos cselekmények (forradalom, háború és ide értve az állam megtorló intézkedéseit is, pl.: kijárási tilalom, rendkívüli állapot, stb.)

 

(új kategóriák – a társadalmi katasztrófákon belül)

- Az állam működéséből eredő esetleges „anomáliák” (pl. a gyors, az eddigi szokásokkal ellentétes szabályalkotás). (lásd jegyzet 8)

- A globalizáció és az ökoszisztéma változás nem kívánt hatásai (pl. zsaroló vírusok).


 

 

Csoport/kategória jellemzők

 

I.

Az elemi károknál és a természeti csapásoknál megfigyelhető, hogy a behatások – tulajdonképpen – azonosak, csak a mértékükben van különbség (nem mindegy, hogy csőtörés vagy árvíz).

Az elemi károk hatásai lokális jellegűek. Alapvetően csak a szervezetre hatnak és a szervezet felelősége a megfelelő szabályozás kialakítása (megelőzésükre, elhárításukra és az – üzleti, információbiztonsági, stb. – károk minimalizálására).

A természeti csapások esetén a szervezetnek ugyanazokat a védelmi intézkedéseket meg kell hozniuk, mint az elemi károknál. Különbség, hogy nagyobb az „elkerülhetetlenségi tényező” és nagyobb segítséget kaphat a társadalom részéről.

Az „elkerülhetetlenségi tényező”: a kockázatértékelésben a kárminimalizálás lehetőségeire van hatással. A segítség a társadalom részéről pl. hőségriadó kihirdetése.

A példánál maradva (hőségriadó):

10-15 évvel ezelőtt kicsi volt a gyakorisága (és a hatása is), ma már „mindennapos”.

10-15 évvel ezelőtt „szokássá vált” a szervertermek, szerverszobák klimatizálása (előzőleg célszerű volt, de nem volt direkt követelmény).

Ma – a technika hűtésén túl – elengedhetetlen a munkatermek klimatizálása is.

 

Következtetés 1: A kategóriák (tűz, víz, stb.) viszonylag statikusak, de a jellemzőik változhatnak (sőt, a példának hozott időjárás területén nagyon gyors a változás). Tehát, nem követhető az a módszer, hogy egyszer kiértékelem és a következő 10 évre jó lesz.

Következtetés 2: A példából (is) jól látszik, hogy az információbiztonságot csak „komplex szemléletmóddal” szabad megközelíteni. A katasztrófák területén a kockázatértékelés indukál egy intézkedési igényt és hatása lesz a személyvédelem területére is (munkatermek klimatizálása).

 

II.

A társadalmi katasztrófák első csoportjának megértése, feldolgozása (a szervezeten belüli elégedetlenségtől a háborúig) viszonylag egyszerű. A kategóriák és jellemzőik állandóak, a kockázatok előre számolhatóak, a hozott intézkedések kielégítik az információbiztonsági (és üzleti) követelményeket.

Ez azt is jelenti, hogy van/volt rá példa. Kialakult valamilyen – a gyakorlat igazolta, hatékony – szabályozás. Társadalomtudományi elemzések alapján nagy pontossággal prognosztizálható – a bekövetkezés gyakorisága.

Példa rá:

Taxis blokád, sztrájkok (idáig inkább csak lokálisak fordultak elő), tömegrendezvények.

 

Következtetés 1: Fejlődés, változás ezekben a kategóriákban is kimutatható. Pl. 30-40 évvel ezelőtt (általában) a munkahelyeken a vallási, vagy politikai, stb. hovatartozás nem merült fel potenciális feszültségforrásként. (Vallási egyáltalán nem, politikai előfordult, de a „problémát” a szervezeten belül elnyomtuk – helyesen -, mondván: a munkahely munkára van.)

Következtetés 2: A szervezeten belüli elégedetlenségek kezelésére kialakult és a gyakorlatban kipróbált eszköztára van a vezetésnek.

Következtetés 3: Az említett kategóriáknál megfigyelhető pozitív változás. Jellemző, hogy az erőszak visszaszorult. (pl. egy sztrájk és a válasz rendőrattak esetén csak azzal számolhatok, hogy a munkatársam késni fog és nem azzal, hogy meghal, súlyosan sérül.) Figyelem! A pozitív tendencia a napi politika hatására gyorsan megváltozhat, ill. forradalmat, háborút régen „próbáltunk”.

Következtetés 4: A szervezeten belüli elégedetlenségnek van egy eleme, ahol nagyon lassú a (pozitív irányú) változás. Ez a „munkahelyi erőszak” (inkább a „férfi-nő”, „nő-férfi” viszonylatban, de ide érthető az „erős-gyenge” viszonylat is).

1. Megjelent a „nő molesztál férfit”.

2. A „molesztálók” sokszor vezető beosztásúak – akiknek pont az lenne a dolguk, hogy az ilyen jellegű feszültségeket kezeljék. (lásd jegyzet 9)

Következtetés 5:

1. Bizonyos jellemzők lehetnek „túlreagáltak”.

Pl.: szexuális zaklatás-e – a mi kultúrkörünkben -, ha felsegítem a nő (esetleg férfi) kabátját, vagy magam előtt kiengedem egy ajtón?

 

2. Bizonyos megoldások (intézkedések) lehetnek „túlreagáltak”.

Pl.: A könyvelő cégemnél (a 100%-os) rendelkezésre állás követelményének a szellemében:

- rendelkezem UPS-sel, aggregátorral, többszörös betáplálással,

- megoldottam a személyzet minden körülmények közötti beszállítását,

- víz és élelmiszer készletet halmoztam föl,

- stb. (áram a kerítésbe, géppuskafészek a sarkokra),

mert minden körülmények között meg akarok felelni a rendelkezésre állás követelményének (forradalom, háború, UFO támadás esetén is).

A kérdés: Bár példásan kielégítettem egy szabványkövetelményt, de kinek is fogok a rendelkezésére állni (amennyiben a megrendelőim nem rendelkeznek hasonló kiépítettséggel)?

 

A különös „érdekességek” a további kategóriákban találhatók (az új kategóriák).

 

 

 

III.

Az állam működéséből eredő esetleges „anomáliák”. (lásd jegyzet 8)

Normális működési rendben az állam szakmai és politikai, ill. egyéb érdekegyeztetés után meghozza a szükséges (elégséges) szabályozókat (törvények, rendeletek, stb.). Azokat megfelelő átmeneti időt alkalmazva (véletlenül sem visszamenőleges hatállyal) bevezeti. Végrehajtásukat objektíven és széleskörűen ellenőrzi.

Normális működési rendben ezzel a kérdéssel és kockázataival az információbiztonsági vezetőnek (és a szervezet vezetésének) nem kell foglalkozni.

 

IV.

A globalizáció és az ökoszisztéma változás nem kívánt hatásai. (lásd jegyzet 10)

A címben jelzett fogalmakat, összefüggéseket, hatásaikat a társadalomtudósok jelenleg is kutatják.

Tehát, az információbiztonsági vezetők számára még nem áll rendelkezésre egy jól tematizált, gyakorlati tapasztalatokon alapuló szabálygyűjtemény (intézkedési javaslatokkal).

De! A kutatott kérdések hatásait már érzik.

Pl.:

- 2006. november 4-én az európai villamosenergia-rendszerben súlyos zavar (lásd jegyzet 11) (Figyelem! ez csak technikai probléma volt, a rosszindulat itt még nem játszott szerepet.)

vagy

- zsarolóvírus támadás ért több szervezetet.

vagy

- hackerek árulják az ügyféladatbázist.

vagy

- az oroszok manipulálhatták az amerikai választást (esetleg a kínaiak).

 

Következtetés 1:

- A károk (főleg össztársadalmi szinten) nagyságrendekkel nagyobbak lehetnek, mint a „megszokott” incidenseink által okozott károk.

- Szükséges figyelemmel kísérni a kutatások eredményeit.

- Szükséges a „világ történéseit” információbiztonsági szemszögből vizsgálni (lehet-e ránk hatással?)

- A helyileg bevezethető intézkedéseket azonnal meg kell hozni (ez jelenleg nagyrészt az oktatásban kimerül – nagyon leegyszerűsítve: a szervezetem tagjainak tudomására hozom, hogy pl. a zsaroló vírust tartalmazó leveleket ne nyissák meg).

- Ösztönözni kell (pl. szakmai fórumokon keresztül) az illetékeseket (hatóság, államvezetés) a hatékony reagáló szervezetek és eljárások létrehozására, működtetésére.

Egy lehetséges séma szerint:

- Legyen kit riasztani (központ, szerv, bizottság), ami statisztikai elemzések alapján megállapítja a kockázat nagyságát és elsődleges védelmi intézkedéseket rendel el, vagy ajánl.

- Ennek a szervnek legyen illetékessége a kockázat elhárítása érdekében egyéb szervek segítségét kérni, tevékenységüket koordinálni (rendőrség, titkosszolgálatok, hatóságok, szakmai szervezetek, nemzetközi együttműködésben hasonló szervek, stb.)

Leegyszerűsített példa: a zsaroló vírust útjára bocsátó jópofa ukrán diákot már aznap délután kérdezze meg egy ukrán rendőr, hogy komolyan gondolta-e.

- Alakítson ki olyan védelmi rendszert amely a hasonló támadások lehetőségét minimalizálja (ezek a másodlagos védelmi intézkedések – amelyek egyébként a bejelentő szervezet bárminemű védelmi lehetőségeit meghaladnák)

- Végül egy „tanács”: az információbiztonsági vezető olvasson fantasztikus irodalmat. (lásd jegyzet 12)

A társadalomtudósukhoz képest az írók szabadabban elengedhetik a fantáziájukat az információbiztonság témakörébe eső problémákról. Viszont tagadhatatlan, hogy a jegyzetben említett írónak elég nagy számban beigazolódtak a 2012-es felvetései?!

 

Összegzés

 

Az információbiztonsági szabvány követelménye az alkalmazhatósági nyilatkozat elkészítése (a szabvány „A” melléklete szerint).

Ebben lesznek kérdések, amik a szervezetemben nem értelmezhetőek (kizárom) és lesznek kérdések, amelyekkel kiegészítem (speciálisan a szervezetemre vonatkozó, az információbiztonságot befolyásoló kérdések – a mi esetünkben a katasztrófák releváns kategóriáira hozott intézkedések). (lásd jegyzet 13)

Az információbiztonsági rendszer helyes, hatékony működtetéséhez ezek szerint már a kockázatértékelésbe is be kell vonni a katasztrófák kategóriáit.

Az első négy gyakorlati terület csoportjai, kategóriái statikusak, illetve a szervezetben vagy a „közel környezetében” van hozzá szakember, aki segít az intézkedések – szakszerű - kidolgozásában (közel környezet: pl. a kiszervezett őrzés-védelem, vagy a kiszervezett informatika).

A katasztrófáknál (az ötödik terület) csak a csoportok, kategóriák felállításában tudunk segíteni, meghagyva, hogy a tartalmuk, jellemzőik nagyon gyorsan változhatnak (főleg a társadalmi katasztrófák területe). Továbbá a szervezetben (közelében) nincs szakember, akiknek a segítségére támaszkodhatunk (máshol van, csak nem a szervezetben – a már említett meteorológus, politológus, stb.), illetve itt a „józan ész faktor” szerepe jelentős (az információbiztonsági vezetőnek önállóan kell eldöntenie, hogy jelent-e – valamilyen információbiztonságot érintő kérdés - kockázatot és milyen súllyal).

 


 

Jegyzet

(1)

Az oktatásban való megjelenése:

2006 EOQ ISMS Manager tanfolyam

2008 MSZT Információbiztonsági menedzser (képzés) 2. modul

(vissza)

 

(2)

Az információbiztonság gyakorlati területei:

- terület-, objektumvédelem,

- személyvédelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),

- hagyományos „alapú” adatok, módszerek, eszközök védelme (pl. papíralapú, film, rajz, stb.),

- informatikai védelem,

- katasztrófák elleni védelem (elemi károk, természeti csapások, társadalmi katasztrófák elleni védelem).

(vissza)

 

(3)

pl.:

terület-, objektumvédelem: őrző-, védő (cég); biztonságtechnika; gondnok, stb.

személyvédelem: személyügy (HR), testőr

hagyományos „alapú”: ügyiratkezelés

informatikai védelem: informatikus, rendszergazda

(vissza)

 

(4)

Leszámítva a tűzvédelem és munkavédelem „részeket”.

(vissza)

 

(5)

Tévedés ne essék! A politológus nem azt fogja megmondani, hogy a következő választásokon ki fog biztosan nyerni, hanem milyen tendenciák érvényesülnek, az üzleti (információbiztonsági) tervezésemkor milyen környezettel, külső behatásokkal kell számolnom.

Az „-ológusok” közül (a bekövetkezés szakmai előrejelezhetősége szerint) a meteorológus van a legjobb helyzetben, de ő sem jelenti ki kategorikusan, hogy pl. „esni fog az eső”. Viszont, a prognózisára majd én eldöntöm, hogy pl. termény szállításnál felvállalom-e a nyitott szállítóeszköz kockázatát.

Más kérdés, hogy az „-ológusok” tudományai is fejlődnek és egyre pontosabbak a prognózisaik.

(vissza)

 

(6)

Atom, biológiai, vegyi.

(vissza)

 

(7)

A terror klasszikus értelmezésében: nyílt erőszak alkalmazása rémület, rettegés kiváltása céljából.

Mára bővült az értelmezése, mert lokális erőszakkal is lehet nagy terjedelmű rettegést kiváltani:

pl.

- 1-2 – meghatározó kapacitású – erőmű rombolása (lokális erőszak) – áramkimaradások - megrendíti az ország vezetésében a bizalmat.

- Internet gerincvezeték (tudatos) elvágása fennakadásokat okoz az üzleti adatforgalomban.

- A hálózatosodás következményeként:

            - adatok megmásítása (pl. választási rendszer manipulációja),

            - informatikai rendszerek manipulálása (hacker támadások),

            - manipulált információk közvetítése (232 millió bevándorló közeleg),

            - stb.

(Amennyiben kielégítik a nyílt erőszak és a rettegés kiváltása feltételeket.)

(vissza)

 

(8)

Tulajdonképpen ez a napi politika – aminek nem szabadna, hogy hatása legyen egy szervezet életére és információbiztonságára de…

Hogyan érintené, ha:

1., A NAV lefoglalná az összes számítógépét és dokumentációját?

2., Törvény kötelezné, hogy az eddig védeni gondolt összes információját adja át a konkurenciának? (Welt 2000 – 2014)

3., A szakhatóságokon kívül (ill. a szükséges mértéken túl) minden hatóság; terrorelhárításra, vagy nemzetbiztonságra hivatkozó szervezet az üzleti titkaihoz és minden adatához korlátlanul hozzájut – esetleg bírói jóváhagyás nélkül is?

(vissza) (ismét vissza)

 

(9)

A „molesztáló” szót használom, amibe beleérthető a szexuális zaklatás és az „erős-gyenge” viszony is.

Erős-gyenge: Az erősebb hatalmat gyakorol a gyenge felett. Az erő lehet vélt vagy valós is, de a cél, hogy valakin uralkodni lehessen.

- autokratikus vezetési stílus,

- az idősebb (tapasztaltabb) túlzottan érezteti „fölényét” a fiatalabbal szemben,

- a szervezetben elfoglalható jobb (presztízs) pozícióért kigúnyolnak másokat.

(Egyébként az autokratikus, hatalmaskodó vezetési stílus sem erősíti az információbiztonságot – miért várom el a „jobbágyként” kezelt beosztottól a lojalitást?)

(vissza)

 

(10)

Marosán György: A Murphy- és a Moore-törvény között; Népszava 2017. aug 26.

„Az idők múlásával – épp az ember által mozgásba hozott erők hatására - a világ egyre bonyolultabb lett.”

„A 21. századba átlépve - a minden ember és minden eszköz között szoros kapcsolatot létesítő internet létrejöttével – azonban még a hagyományos rendszerdinamika is megbicsaklott. A világ leírására - a gépezet, az organizmus, majd a rendszer-metafora után – ökoszisztéma hasonlat vált elfogadottá. Az ökoszisztéma - eredetileg - az élőlények és az élettelen természet valamennyi apró részletét összefűző, minden viszonyát átszövő, elszakíthatatlan kapcsolatok rendszerét fejezte ki. Világunk ökoszisztémaként való jellemzése arra utal: minden elemi rész szorosan összefügg az áttekinthetetlen bonyolultságú rendszer távoli elemeivel, és viselkedését olyan funkciók is befolyásolják, amelyektől addig nem függött. Ennek hatására a mind bonyolultabbá váló rendszerek optimális állapotát fenntartani rendeltetett eszközök és mechanizmusok szabályozóképessége rendre elmaradt a válságok mértékétől. Ez pedig a zavarok növekedésére, végül pedig rendszerválságok kirobbanására vezetett.”

„Napjaink problémáit tehát - bár keletkezésükben közrejátszik a rosszindulat és az ostobaság is - az áttekinthetetlen komplexitású rendszer maga kelti. Így, még jószándék esetén is nehezen kezelhető krízisek keletkezhetnek.”

 

teljes cikk: http://nepszava.hu/cikk/1138642-marosan-gyorgy-a-murphy--es-a-moore-torveny-kozott

(vissza)

 

(11)

Hadmérnök III. Évfolyam 3. szám - 2008. szeptember

Körmendi Krisztina, Solymosi József:

AZ EURÓPAI ÖSSZEKAPCSOLT VILLAMOSENERGIA-RENDSZER 2006. NOVEMBER 4-I ÜZEMZAVARÁNAK ÁTTEKINTŐ ÉRTÉKELÉSE

 

„2006. november 4-én éjszaka az európai UCTE villamosenergia-rendszeren súlyos zavar lépett fel. A zavar az észak-német átviteli hálózatban keletkezett, ahol egy 318 kV-os távvezeték túlterhelődés következtében kikapcsolódott, ami további vezetékek kaszkádbomlását indította el, az UCTE rendszer három részre szakadt.”

 

„   az üzemzavar következtében több mint 15 millió európai háztartás villamosenergia-ellátása szűnt meg időlegesen, a zavarok a legtöbb európai országot érintették. Az érintett rendszerirányítók azonnali intézkedéseinek köszönhetően azonban a zavar nem nőhetett európai méretű áramszünetté, a normál rendszerüzemet kevesebb, mint két óra alatt helyreállították valamennyi érintett területen.”

 

teljes cikk: http://hadmernok.hu/archivum/2008/3/2008_3_kormendi.pdf

(vissza)

 

(12)

Marc Elsberg: Blackout (Holnap már túl késő)

Blanvalet Verlag, 2012

Animus Kiadó, 2016

 

„Februári fagyok söpörnek végig Európán, amikor a kontinens szinte teljes elektromos hálózata összeomlik. A következmények katasztrofálisak. A sötétbe borult utakon egymást követik a karambolok, leáll a fűtés, a vízszolgáltatás, a mobilok feltölthetetlenek, az internet elérhetetlen. Piero Manzano, az olasz informatikus hackertámadást vél felfedezni a háttérben, de gyanúja a hatóságoknál süket fülekre talál. Az Europol terrorelhárító szakértője, François Bollard végül meghallgatja, ám ekkor olyan e-maileket fedeznek fel Manzano laptopján, amelyek rá terelik a gyanút. A támadók agyafúrtak és kíméletlenek. Európában atomkatasztrófák fenyegetnek, az emberek elegendő élelem, víz, üzemanyag és orvosi ellátás nélkül vegetálnak sötét, fűtetlen lakásaikban. A túlélésért folytatott küzdelem hamarosan oda vezet, hogy a rend már csak a katonaság bevetésével tartható fenn…

 

Napjaink egyik legnagyobb német regénysikere olyan kérdéseket vet fel, melyekre az emberiségnek mielőbb választ kell találnia. Mert holnap talán már túl késő lesz…”

(vissza)

 

(13)

Alkalmazhatósági nyilatkozat az „A” melléklet szerint.

Ez egy logikai hiba a szabványban (lehet, hogy fordítási hiba?).

Az alkalmazhatósági nyilatkozattal bizonyítom magam előtt és a külső szemlélő előtt, hogy minden, a szervezetemet érintő információbiztonsági kérdéssel foglalkoztam és hoztam rá intézkedést.

Tehát, logikus lenne, hogy az „A” mellékletet példának tekintem. A példa irreleváns kérdéseit egyszerűen elhagyom, a speciálisan a szervezetre vonatkozó kérdésekkel pedig kiegészítem.

Helyette, jelenleg – a szabvány szövege szerint - az „A” melléklet kérdéseit vizsgálni kell és az irrelevánsak kizárhatóak, illetve újak vehetők fel.

- a szervezetek nagy része mechanikusan kitölti az „A” mellékletet.

- nem szeretünk kizárni, ezért – az egyébként irreleváns kérdésekben – az indoklások, intézkedések semmitmondóak lesznek.

- nem szeretünk kiegészíteni, mert azok a kérdések nincsenek benne a „hivatalos” mellékletben.

Tehát, az alkalmazhatósági nyilatkozatot, mint a rendszer egy fontos funkcionális elemét nagyrészt elveszítettük.

 

(Egyébként, képzeljünk el egy olyan szervezetet, ahol nincs számítógép – azaz az informatika területe teljesen hiányzik. Ilyenkor a mostani „A” melléklet szerinti alkalmazhatósági nyilatkozatban a kérdések „felét” ki kell zárni (indoklással) és „még egyszer annyi” valós kérdéssel kéne kiegészíteni.)

(vissza)

 

2017.09.