"Az informatikai eszközök üzemeltetése területén a legnagyobb kockázatot a biztonsági szabályzatok hiánya jelenti, mert nincs egységes, kötelezően betartandó normarendszer.

Nem valĂłsul meg az optimĂĄlis logikai vĂŠdelem a nagy ĂŠrtĂŠkĹą informatikai hardver ĂŠs szoftver eszkĂśzĂśk tekintetĂŠben.

A Hivatal egĂŠszĂŠt ĂĄtfogĂł, informatikĂĄval kapcsolatos stratĂŠgia ĂŠs vĂŠgrehajtĂĄsi szabĂĄlyzatok egyarĂĄnt hiĂĄnyosak.

Nem készült szabályzat a Hivatal informatikával kapcsolatos biztonsági politikájáról, elvárásairól; az informatikával kapcsolatos döntés előkészítésről és a döntési hatáskörökről; az informatikai feladatokra időszakosan létrehozott szervezetek működtetéséről, annak ellenére, hogy jelentős számú projekt működött a vizsgált időszakban, a saját, egyedileg meghatározott keretei között. Hiányoznak az üzemeltetési, tervezési, fejlesztési szabályzatok; az informatikai szolgáltatások folytonosságát biztosító szabályzatok és a vírusvédelem, katasztrófaterv, archiválási szabályzatok.

A meglévő, kevés számú informatikai szabályzat a szervezeti változásokat nem követte. A szabályzat olyan szervezetek részére is delegált feladatokat, amelyek már nem léteztek.

A MeH egészére nem készült biztonsági és adatvédelmi szabályzat, a hatályban lévő Közszolgálati Adatvédelmi Szabályzatról szóló 11/1998. MeH közigazgatási államtitkári utasítás csak a közszolgálati nyilvántartással összefüggő adatvédelmi, informatikai biztonsági szabályokat tartalmazta.
Nem kĂŠszĂ­tettek kĂśzĂŠptĂĄvĂş informatikai beszerzĂŠsi tervet, ĂŠves szoftver beszerzĂŠsi tervet, - az egyeztetĂŠst kĂśvetően sem mutattĂĄk be – helyette ĂŠves informatikai eszkĂśz ĂŠs szoftver kĂśltsĂŠgtervezĂŠs tĂśrtĂŠnt.

Az informatikai biztonság kérdése, sem szervezet, sem szabályzat szintjén nem megoldott. A központi számítógépes helyiségek fizikai védelme és hardver környezete megfelelő volt, ezt a védelmet erősítette a vizsgált időszakban végrehajtott szerverszoba-korszerűsítés.

A jogosultságok kezelésére nem volt egységes eljárás kidolgozva, a kilépő dolgozók nem nyilatkoztak a jogosultságaik, valamint a személyes anyagaik (adatállományaik) sorsáról.

A vĂ­rusvĂŠdelem tĂśbbszintĹą ĂŠs kĂśzpontilag kezelt, biztosĂ­tva a hĂĄlĂłzatba kapcsolt gĂŠpeken a vĂ­rusvĂŠdelmi szoftverek legfrissebb vĂĄltozatĂĄnak alkalmazĂĄsĂĄt.
A személyes használatba adott informatikai eszközök védelme nem volt megoldott, a szabályzatok nem kötelezték a használókat semmilyen biztonsági intézkedésre, még a vírusvédelem területén sem. A vírusvédelmi szoftver a kiadáskor telepítésre került ugyan, de a frissítés nem volt megoldva. A jelszókezelés nem megfelelő, mert nem tölti be biztonsági szerepét."