Döntéselőkészítő elemzés
Zammad vagy ConsultLess?
A szervezet jelenlegi Zammad jegykezelőjéhez képest mit nyújt a ConsultLess GRC + ticketing platform? Funkcionális összehasonlítás, NIST 800-53 Low megfelelőségi relevanciával, TCO-elemzéssel és éves erőforrás-megtakarítási modellel — kis KKV (10–50 fő) számára.
01 · Összefoglaló
Miről kell dönteni valójában?
Ez az anyag nem azt kérdezi, hogy melyik rendszer „jobb". Azt kérdezi, hogy a szervezetnek mire van szüksége: helpdesk ticketingre, vagy auditálható GRC működésre.
Vezető összefoglaló
A Zammad kiváló IT helpdesk / ügyfélszolgálati jegykezelő. Licence ingyenes, önkiszolgáló telepítéssel. NIST 800-53 megfelelőségi célra azonban nem erre a feladatra készült — a GRC adatmodellt, kontrollkövetést, evidencia-struktúrát és audit riportolást a szervezetnek kell rá építenie, ami jelentős egyszeri és fenntartási ráfordítást jelent.
A ConsultLess GRC + ticketing platform: natív kontrollkövetés, kontrollhoz kötött feladatkezelés, auditálható evidencialánc és automatikus megfelelőségi riport. Közvetlen licenc- és supportköltsége magasabb, de a fenntartási évben 21 munkanapnyi GRC-adminisztrációt vált ki, amelynek belső erőforrásértéke ~1 340 000 Ft/év.
Kis KKV-nál (10–50 fő), ahol nincs dedikált compliance csapat és 2 éven belül NIST 800-53 alapú audit várható, a ConsultLess a javasolt elsődleges platform. A Zammad akkor releváns mellé, ha az operatív IT helpdesk működés is prioritás, vagy ha a GRC funkciót más eszköz már lefedi.
⚠ Audit-kockázat: a nem auditált EIR
Az előző audit az egyik EIR-t vizsgálta — az átment. A másik EIR-en jelenleg nincs kontrollstruktúra, nincs evidencia, nincs auditálható nyomvonal. A következő auditnál mindkét EIR vizsgálat alá kerül.
Zammad-alapú működéssel: a nem auditált EIR-hez a következő 24 hónapban sem épül automatikusan evidencia-struktúra. Az audit előtt mindent nulláról kell összegyűjteni — hasonló vagy nagyobb terheléssel, mint az első auditnál.
ConsultLess-szel: a második EIR is bevezetésre kerül a rendszerbe. 2 év alatt kontrollstruktúra és evidencia épül rá — az audit előtt export van, nem adatgyűjtési projekt.
Az előző audit az egyik EIR-t vizsgálta — az átment. A másik EIR-en jelenleg nincs kontrollstruktúra, nincs evidencia, nincs auditálható nyomvonal. A következő auditnál mindkét EIR vizsgálat alá kerül.
Zammad-alapú működéssel: a nem auditált EIR-hez a következő 24 hónapban sem épül automatikusan evidencia-struktúra. Az audit előtt mindent nulláról kell összegyűjteni — hasonló vagy nagyobb terheléssel, mint az első auditnál.
ConsultLess-szel: a második EIR is bevezetésre kerül a rendszerbe. 2 év alatt kontrollstruktúra és evidencia épül rá — az audit előtt export van, nem adatgyűjtési projekt.
Rendszer
Zammad 7.x
Open source IT helpdesk és ügyfélszolgálati platform. Erős multichannel ticketing (email, chat, telefon, web). Ingyenes self-hosted licenc, de a GRC működés kialakítása külön projektet igényel.
✓ Elsődlegesen: helpdesk, service desk, IT support
Rendszer
ConsultLess 1.3.0
GRC + Ticketing platform on-premise telepítéssel. Natív NIST/ISO 27001/NIS2 kontrollkezelés, evidencia-struktúra, governance workflow-k, audit exportok. Magasabb közvetlen költség, alacsonyabb megfelelőségi bevezetési kockázat.
✓ Elsődlegesen: NIS2 / NIST 800-53 auditfelkészülés, GRC
02 · Funkcionális összehasonlítás
Mit tud — és mit nem — a két rendszer?
A táblázat azt mutatja meg, hogy a meglévő Zammad és a ConsultLess hogyan teljesít egyes funkcionális területeken — különös tekintettel arra, hol kell a Zammad mellé pótlólagos munkát vagy eszközt bevezetni NIST 800-53 megfelelőséghez. Az ⬛ jelölés nem gyengeséget jelez, hanem céleltérést.
🟢 Erősebb / teljesebb ebben a kategóriában
🔴 Gyengébb / hiányzó funkció
🟡 Közel egyenértékű
⬛ Nem releváns erre a rendszerre
NIS2 kritikus
NIS2 hasznos
Semleges
| Szempont | Zammad | ConsultLess | NIST / NIS2 |
|---|---|---|---|
| Jegykezelés | |||
| Jegy létrehozás | 🟢 Szabad formátum és sablonok | 🟡 Kizárólag előre definiált workflow sablonok alapján | Semleges |
| Jegy–kontroll kapcsolat | 🔴 Nem natív; egyedi mezőkkel részben kialakítható | 🟢 Natív: a jegyek GRC feladathoz és kontrollhoz köthetők | NIS2 kritikus |
| Ismétlődő / ütemezett jegyek | 🟡 Automatizációval részben megoldható, de nem GRC-kontroll logika szerint | 🟢 Rendszeres feladatoknál automatikus jegygenerálás, előre ütemezve | NIS2 kritikus |
| Jóváhagyási workflow | 🟡 Trigger-alapon konfigurálható, nem natív | 🟢 Beépített: jóváhagyó csoport → megoldó csoport folyamat | NIS2 hasznos |
| Auditnaplózás | 🟡 Teljes változáskövetés | 🟡 Teljes módosítási előzmények | NIS2 kritikus |
| Melléklet / evidencia csatolás | 🟡 Igen | 🟡 Igen | NIS2 kritikus |
| Workflow és automatizáció | |||
| Beépített jóváhagyási lánc | 🔴 Nem natív alapfunkcióként | 🟢 Beépített: jóváhagyó → megoldó csoportos folyamat | NIS2 hasznos |
| Dinamikus workflow | 🔴 Csak fizetős (Plus) csomagban | 🟢 Jegycímkék előre meghatározzák a teljes workflow-t | NIS2 hasznos |
| Feladatteljesítés automatikus mérése | 🔴 Nincs natív kontrollonkénti megfelelőségi mérés | 🟢 Kontrollonkénti befejezési arány % automatikusan számítva | NIS2 kritikus |
| SLA / határidőkezelés | 🟢 Konfigurálható SLA beállítással | 🟡 Határidő és kezdési dátum kezelés, lejárt státusz jelölés | NIS2 hasznos |
| Felhasználó- és jogosultságkezelés | |||
| RBAC szerepkör alapú hozzáférés | 🟡 Igen | 🟡 Igen, teljesen testreszabható | NIS2 kritikus |
| Granulált jogosultságok | 🟢 Modulonként és műveletek szintjén | 🟡 Modulonként (megtekintés / módosítás / törlés) | NIS2 kritikus |
| SSO / LDAP integráció | 🟢 LDAP és vállalati integrációk dokumentáltak | 🔴 Nem dokumentált a vizsgált anyagokban | NIS2 hasznos |
| Kommunikáció és csatornák | |||
| E-mail csatorna (beérkező ticketek) | 🟢 Igen, beépített | 🔴 Nem (értesítések szintjén igen) | Semleges |
| Chat, telefon, közösségi média | 🟢 Chat, VoIP (Sipgate), Facebook, Twitter, Telegram | ⬛ Nem releváns — GRC platform | Semleges |
| Kockázat- és megfelelőség-kezelés (GRC) | |||
| Keretrendszer-kezelés (NIST, ISO 27001) | ⬛ Nem releváns | 🟢 Natív GRC funkció, beépített kontrollkészletekkel | NIS2 kritikus |
| Kontrollkezelés (aktív/inaktív, szintek) | ⬛ Nem releváns | 🟢 Globális/EIR szintű, biztonsági szintek, kategorizált | NIS2 kritikus |
| Fenyegetettségkezelés (MITRE alapon) | ⬛ Nem releváns | 🟢 Igen, automatikusan frissülő ajánlott státusz | NIS2 kritikus |
| Megfelelőségi arány követése | ⬛ Nem releváns | 🟢 Feladatteljesítés alapján, kontrollonkénti % értékkel | NIS2 kritikus |
| ISO 27001 – NIST cross-mapping | ⬛ Nem releváns | 🟢 NIST–ISO 27001:2022 kapcsolat dokumentált | NIS2 kritikus |
| Szállítókezelés kontroll-lefedettséggel | ⬛ Nem releváns | 🟢 Szállítók, termékek, kontroll-hozzárendelés | NIS2 hasznos |
| Auditálhatóság és bizonyíthatóság | |||
| Kontroll → feladat → ticket → evidencia lánc | 🔴 Nem natív; egyedi adatmodell és fegyelem szükséges | 🟢 Natív GRC működési logika | NIS2 kritikus |
| Auditcsomag előállítása | 🔴 Egyedi lekérdezés, API vagy manuális export szükséges | 🟢 Natív export és GRC riportolási logika (XLSX/CSV/JSON) | NIS2 kritikus |
| Audit előkészítési ráfordítás | 🔴 Magasabb — GRC-modellt külön kell megtervezni | 🟢 Alacsonyabb — GRC-adatmodell adott | NIS2 hasznos |
| Dokumentumkezelés és tudásbázis | |||
| Kontrollhoz kötött dokumentáció | 🔴 Nincs | 🟢 Minden kontrollhoz szabályozási segédlet és egyedi tartalom | NIS2 kritikus |
| Dokumentum exportálása (audit célra) | 🟡 API-val megoldható, de nem natív auditcsomag | 🟢 Teljes keretrendszer vagy szelektív, exportálható | NIS2 kritikus |
| Verziókezelés / visszaállítás | 🔴 Nem dokumentált | 🟢 Igen, tartalom visszaállítható | NIS2 hasznos |
| Riportálás és export | |||
| GRC-specifikus riportálás | 🟡 Alapszintű (jegyek, csoportok szerint) | 🟢 GRC-specifikus: kontrollok, fenyegetések, feladatok, jegyek | NIS2 kritikus |
| Exportálás formátumai | 🔴 Nem dokumentált részletesen | 🟢 XLSX, CSV, JSON — kiterjedt szűrési lehetőségekkel | NIS2 kritikus |
| REST API | 🟢 Igen, dokumentált | 🔴 Publikus API nem dokumentált a vizsgált anyagokban | NIS2 hasznos |
| Architektúra és stratégiai kockázatok | |||
| Licenc és vendor lock-in | 🟢 Open source (AGPL-3.0), self-hosted, alacsony vendor lock-in | 🟡 Kereskedelmi platform, közepes vendor függőség | NIS2 hasznos |
| Telepítési modell | 🟢 Self-hosted: Linux csomag, Docker, Kubernetes | 🟢 On-premise vállalati telepítés | Semleges |
| Dokumentált támogatási modell | 🟡 Community fórum + fizetős vendor support | 🟢 Standard (149 000 Ft/hó) és Prémium (199 000 Ft/hó) support | NIS2 hasznos |
Fontos értelmezési korlát: A kommunikációs csatornák (email, chat, telefon) kategóriájában a ConsultLess ⬛ jelölései nem gyengeséget jeleznek — a rendszer nem kommunikációs platform. Fordítva: a GRC/kockázatkezelés kategóriájában a Zammad ⬛ jelölései nem hiányt, hanem céleltérést jelölnek. A döntési kérdés nem az, melyik rendszer „jobb" általánosan, hanem mi a szervezet elsődleges igénye.
03 · Bekerülési és fenntartási költség
Mennyi a valós éves kiadás?
A Zammad „ingyenes" licencje valódi előny — de a GRC-réteg kialakítása egyszeri, de jelentős ráfordítást jelent. A ConsultLess közvetlen költségei előre tervezhetők; az üzemeltetési teher mindkét rendszernél stabilis működésnél alacsony és közel azonos.
Zammad — közvetlen kiadás
Szoftver licenc (self-hosted)0 Ft
Infrastruktúra (VM, ajánlott)~600 eFt/év
Üzemeltetés (~1 óra/hét)~600 eFt/év
Egyszeri bevezetés~500 eFt – 2 MFt
GRC adatmodell + riporting kialakítás~5,5 MFt (egyszeri)
ConsultLess — közvetlen kiadás
Basic licenc / év, 1 éves szerz.1 490 000 Ft
Basic licenc / év, 3 éves szerz.1 190 000 Ft/év
Infrastruktúra (on-prem VM)~600 eFt/év
Üzemeltetés (~0,75 óra/hét)~450 eFt/év
Egyszeri bevezetési díj490 000 Ft
GRC paraméterezés (2–3 nap)~250 000 Ft
Prémium Support (opcionális)2 388 000 Ft/év
Megjegyzés a ConsultLess ticket keretről: A ticket keret kizárólag az egyedi, felhasználói vagy eseti ticketekre vonatkozik. Az ismétlődő, rendszeres vagy automatizált feladatokhoz kapcsolódó jegyek, valamint az egyszeri belső folyamatkezelési ticketek nem csökkentik az éves ticket keretet. Évi max. 150 egyéni ticket esetén a Basic csomag elegendő. Javasolt konstrukció: 3 éves szerződés, 1 190 000 Ft/év — ez a teljes 3 éves időszakra rögzített, kiszámítható licenckiadás.
Mit tartalmaz — és mit nem — a bevezetési díj (490 000 Ft)?
Tartalmazza: on-premise telepítés, induló technikai konfiguráció, adminisztrátori oktatás, rendszerindítás technikai támogatása.
Nem tartalmazza: üzleti folyamatok kialakítása, egyedi workflow beállítások, jogosultsági modell tervezés, tanácsadás. Ezek külön megrendelhetők 35 000 Ft/óra áron (support csomag nélküli ügyfeleknek), vagy Prémium Support esetén a havi 8 órás keret terhére.
Opcionális support csomagok: Standard (149 000 Ft/hó, 8 óra/hó technikai támogatás, 2 munkanap reakcióidő) · Prémium (199 000 Ft/hó, 8 óra/hó támogatás + tanácsadás, 1 munkanap reakcióidő, kereten felüli óra 30 000 Ft).
Tartalmazza: on-premise telepítés, induló technikai konfiguráció, adminisztrátori oktatás, rendszerindítás technikai támogatása.
Nem tartalmazza: üzleti folyamatok kialakítása, egyedi workflow beállítások, jogosultsági modell tervezés, tanácsadás. Ezek külön megrendelhetők 35 000 Ft/óra áron (support csomag nélküli ügyfeleknek), vagy Prémium Support esetén a havi 8 órás keret terhére.
Opcionális support csomagok: Standard (149 000 Ft/hó, 8 óra/hó technikai támogatás, 2 munkanap reakcióidő) · Prémium (199 000 Ft/hó, 8 óra/hó támogatás + tanácsadás, 1 munkanap reakcióidő, kereten felüli óra 30 000 Ft).
| Üzemeltetési tétel | Zammad | ConsultLess |
|---|---|---|
| OS és security patchek | ~1 óra/hó. Szokásos Linux patch-ciklus: csomag-frissítések alkalmazása, szükség esetén reboot, majd Zammad + Elasticsearch szolgáltatások állapot-ellenőrzése. | ~1 óra/hó. Azonos: szokásos Linux patch-ciklus, reboot után alkalmazás állapot-ellenőrzése. Nincs strukturális különbség. |
| Alkalmazás frissítések | ~1–2 óra/frissítés, negyedévente jellemző. Több lépés: release notes, csomag frissítése, adatbázis-migráció, Elasticsearch kompatibilitás ellenőrzése. Nagyobb verziólépésnél (pl. 6.x → 7.x) több idő. Stabilis rendszeren azonban ez ritka esemény, nem heti teher. | ~0,5–1 óra/frissítés. Egyszerűbb folyamat: nincs Elasticsearch verziókompatibilitás, nincs Ruby gem függőség-kezelés. A csomag alkalmazása és az állapot-ellenőrzés elegendő. |
| Backup ellenőrzés | ~0,5 óra/hó. Három komponens: PostgreSQL dump, Elasticsearch snapshot, attachment könyvtár — ezeket külön kell konfigurálni. Restore próba negyedévente javasolt. | ~0,5 óra/hó. Egy komponens: PostgreSQL dump. Egyszerűbb, kevesebb figyelendő pont. Restore próba ugyanúgy javasolt. |
| Naplók, monitoring, felhasználókezelés | ~1–2 óra/hó eseti. Disk space, service health figyelése — de stabilis rendszeren ez ritka beavatkozást igényel. Felhasználók, szerepkörök kezelése eseti feladat. | ~1–2 óra/hó eseti. Azonos jellegű feladatok, kevesebb komponens. Felhasználó- és jogosultságkezelés a beépített adminfelületen. |
| GRC tartalom adminisztráció | 🔴 Nem a rendszer üzemeltetése — de valakinek elvégzi: kontrollkövetés, evidenciagyűjtés, audit riportok Excelben/e-mailben. Ez a munka a 04-es megtakarítási modellben jelenik meg, nem itt. | 🟢 Szintén nem "üzemeltetés" — de natívan a rendszerben zajlik: kontrollok frissítése, feladatok kezelése, export. Kisebb időráfordítás, és auditálható nyomvonalat hagy. |
| Elasticsearch karbantartás | Kötelező komponens, de stabilis működésnél minimális teher — csak ha index probléma vagy disk telítettség lép fel. Nem heti rendszerességű feladat. | Nem szükséges. |
| Valós heti üzemeltetési idő | ~1 óra/hét átlagosan — stabilis rendszeren a legtöbb héten 0, frissítési és patch héten 2–3 óra. A GRC-munka (04-es fejezet) ezen felül jelentkezik. | ~0,75 óra/hét átlagosan — stabilis rendszeren szintén jellemzően 0, frissítési héten kevesebb mint Zammadnál. A különbség valós, de nem drámai. |
04 · Megtakarítási modell
Mennyi GRC-munkát vált ki a ConsultLess?
A számítás azt mutatja, hogy a jelenlegi Zammad-alapú működéshez képest mennyi GRC-adminisztrációt vált ki a ConsultLess. Alapadatok: NIST 800-53 Low, évi max. 150 egyéni ticket, jegykezelő van / GRC nincs kiindulóállapot, 2 EIR (1 auditált, 1 felkészítetlen). Csak fenntartási éves, visszatérő feladatok — az egyszeri bevezetési munkák nélkül. Forrás: ConsultLess megtakarítási modell v4.
21 nap
megtakarítás / év
1 340 000 Ft
belső erőforrásérték / év
58%
átlagos terhecsökkentés
Hogyan értelmezzük ezt a számot? Az 1 340 000 Ft/év nem licenckedvezmény — a ConsultLess által natívan kezelt GRC-adminisztráció pénzügyi értéke. A jelenlegi Zammad-alapú működésben ezt a munkát manuálisan kell elvégezni: kontrollkövetés, evidenciagyűjtés, governance workflow-k, audit riportok — Excelben, e-mailben és kézi koordinációval. A ConsultLess ezt a réteget veszi át. A számítás belső munkáltatói napidíjakkal számol (Hays + Bluebird IT Salary Guide 2025, Budapest); külső tanácsadói napidíjjal a hatás 2–3× magasabb lenne.
| Feladat | Szenioritás | Zammad mellett (manuális teher) |
ConsultLess (visszamaradó) |
Megtakarítás | Kiváltás % | Pénzügyi érték |
|---|---|---|---|---|---|---|
| Audit evidence gyűjtés és kontrollhoz rendelés | Junior | 8 nap | 3 nap | 5 nap | 60% | 220 000 Ft |
| Kontrollkövetés és státuszkezelés | Medior | 8 nap | 3 nap | 5 nap | 65% | 350 000 Ft |
| Eseti egyéni jegyek kezelése (max. 150/év) ⚠ lásd megjegyzés | Medior | 6 nap | 3 nap | 3 nap | 45% | 210 000 Ft |
| Ismétlődő governance workflow-k | Medior | 8 nap | 3 nap | 5 nap | 58% | 350 000 Ft |
| Dokumentáció-maintenance (kontrollokhoz kötve) | Medior | 6 nap | 3 nap | 3 nap | 50% | 210 000 Ft |
| Összesen | 36 nap/év | 15 nap/év | 21 nap/év | 58% | 1 340 000 Ft/év | |
Napidíj-alapok (bruttó munkáltatói bérköltség, Budapest medián, 2025): Junior 44 000 Ft/nap · Medior 70 000 Ft/nap · Senior 103 000 Ft/nap. Forrás: Hays Salary Guide 2025 és Bluebird IT Salary Guide 2025.
⚠ Ha Zammadban GRC-workflow ki lenne építve — mi változna a megtakarításon?
A megtakarítási modell kiindulópontja: jegykezelő van, natív GRC nincs. Ha a Zammadban egyedi fejlesztéssel felépül egy GRC-réteg (~4 MFt egyszeri cost), egyes tételek változnak — de a megtakarítás döntő része megmarad, mert a Zammad struktúrálisan más eszköz:
Ami megmarad (18 nap / 920 000 Ft/év):
· Audit evidence gyűjtés — Zammadban az evidenciák jegyekhez kötöttek, nem kontrollokhoz; audithoz manuális összeszedés és rendezés szükséges marad.
· Kontrollkövetés és státuszkezelés — befejezési arány, felelősi dashboard, keresztkontroll-kapcsolatok Zammadban custom fejlesztés nélkül nem állnak elő natívan.
· Dokumentáció-maintenance — Zammadban nincs dokumentumkezelő modul; kontrollhoz kötött szabályozási segédletek, verziókövetés, visszaállítás nem megépíthető jegykezelőként.
Ami részben csökkenhet (3 nap / 210 000 Ft/év):
· Eseti egyéni jegyek kezelése — ha a Zammadban GRC workflow fel van építve, a jegyek kontrollhoz rendelése és az audit trail karbantartása könnyebb lesz. Ez a tétel akár felére csökkenhet (~1–1,5 nap / ~100 000 Ft/év), de a natív auditcsomag-export hiánya miatt nem tűnik el teljesen.
Konklúzió: A Zammad GRC-kialakítása (~4 MFt egyszeri) nem helyettesíti a ConsultLess natív képességeit — csupán közelíti. A fenntartási megtakarítás alsó határa ebben a forgatókönyvben ~18 nap / ~920 000 Ft/év marad, és a 4 MFt-os egyszeri fejlesztési cost a TCO-egyenleget ConsultLess javára tolja.
A megtakarítási modell kiindulópontja: jegykezelő van, natív GRC nincs. Ha a Zammadban egyedi fejlesztéssel felépül egy GRC-réteg (~4 MFt egyszeri cost), egyes tételek változnak — de a megtakarítás döntő része megmarad, mert a Zammad struktúrálisan más eszköz:
Ami megmarad (18 nap / 920 000 Ft/év):
· Audit evidence gyűjtés — Zammadban az evidenciák jegyekhez kötöttek, nem kontrollokhoz; audithoz manuális összeszedés és rendezés szükséges marad.
· Kontrollkövetés és státuszkezelés — befejezési arány, felelősi dashboard, keresztkontroll-kapcsolatok Zammadban custom fejlesztés nélkül nem állnak elő natívan.
· Dokumentáció-maintenance — Zammadban nincs dokumentumkezelő modul; kontrollhoz kötött szabályozási segédletek, verziókövetés, visszaállítás nem megépíthető jegykezelőként.
Ami részben csökkenhet (3 nap / 210 000 Ft/év):
· Eseti egyéni jegyek kezelése — ha a Zammadban GRC workflow fel van építve, a jegyek kontrollhoz rendelése és az audit trail karbantartása könnyebb lesz. Ez a tétel akár felére csökkenhet (~1–1,5 nap / ~100 000 Ft/év), de a natív auditcsomag-export hiánya miatt nem tűnik el teljesen.
Konklúzió: A Zammad GRC-kialakítása (~4 MFt egyszeri) nem helyettesíti a ConsultLess natív képességeit — csupán közelíti. A fenntartási megtakarítás alsó határa ebben a forgatókönyvben ~18 nap / ~920 000 Ft/év marad, és a 4 MFt-os egyszeri fejlesztési cost a TCO-egyenleget ConsultLess javára tolja.
A második EIR hatása a megtakarításra
A fenti számok egyetlen EIR fenntartási terheléséből indulnak ki. A második (felkészítetlen) EIR bevezetése a ConsultLess-be egyszeri többletmunkát jelent, de a fenntartási évtől ez az EIR is a rendszer által kezelt kontrollstruktúrán fut — nem növeli arányosan a visszamaradó manuális terhet. Zammad-alapú működésnél a második EIR audit-előkészítése teljes egészében manuális marad.
A fenti számok egyetlen EIR fenntartási terheléséből indulnak ki. A második (felkészítetlen) EIR bevezetése a ConsultLess-be egyszeri többletmunkát jelent, de a fenntartási évtől ez az EIR is a rendszer által kezelt kontrollstruktúrán fut — nem növeli arányosan a visszamaradó manuális terhet. Zammad-alapú működésnél a második EIR audit-előkészítése teljes egészében manuális marad.
Mi nincs ebben a számban? A Kockázatelemzés és a Gap elemzés (Senior szintű, összesen ~25 nap/év kiindulóval) a megtakarítási modellben is szerepel, de ezek jellemzően egyszeri/bevezetési jellegű feladatok, ezért a fenntartási éves összegbe nem számoltuk bele. Ha ezeket is figyelembe vesszük, az éves megtakarítás ~2,5 M Ft-ra emelkedhet.
05 · Teljes tulajdonlási költség (TCO)
Hogyan néz ki a 3 éves kép?
Az alábbi összesítés a jelenlegi Zammad self-hosted működés teljes költségét hasonlítja a ConsultLess Basic 3 éves konstrukcióhoz, support nélkül — mindkét oldalnál eseti megrendelés alapon számolva. Az összegek nettó értékek, ÁFA nélkül.
| Költségkategória | Zammad self-hosted | ConsultLess — Basic 3 éves |
|---|---|---|
| Szoftver licenc (3 év) | 0 Ft | 3 570 000 Ft (1 190 000 Ft/év × 3, Basic 3 éves) |
| Egyszeri bevezetés / technikai setup | ~500 000 – 2 000 000 Ft (belső erőforrással: ~500 eFt; külső kivitelező, AD/LDAP integráció, hardening: ~2 MFt) | 490 000 Ft (dokumentált, rögzített) |
| Infrastruktúra (3 év) | ~1 800 000 Ft (~600 eFt/év × 3, ajánlott VM) | ~1 800 000 Ft (on-prem, hasonló méretezés) |
| Üzemeltetési ráfordítás (3 év) | ~1 800 000 Ft (~1 óra/hét átlagosan; stabilis rendszeren a legtöbb héten minimális, frissítési héten 2–3 óra; 3 év × 52 hét × 1 óra × ~11 500 Ft/óra) | ~1 350 000 Ft (~0,75 óra/hét átlagosan; egyszerűbb frissítési folyamat, nincs Elasticsearch; 3 év × 52 hét × 0,75 óra × ~11 500 Ft/óra) |
| GRC adatmodell + workflow kialakítás | ~4 000 000 Ft (NIST Low, ~40 nap senior/medior, egyszeri; Zammadban nincs natív GRC réteg) ▸ Mit kapna a szervezet ezért a munkáért?
Amit meg lehet építeni (~20–25 nap, ~2–2,5 MFt):
· Custom ticket típusok kontroll-azonosítóval, státuszmezőkkel, felelős és határidő kezeléssel · Ismétlődő feladatok ütemezése (negyedéves hozzáférés-felülvizsgálat, éves policy review stb.) · Tag-alapú kontrollcsoportosítás, szűrhető listák · Egyszerű jóváhagyási workflow (jegy → jóváhagyó csoport → lezárás) · Alapszintű riport: jegyek státusz és csoport szerint exportálva Amit nem lehet megépíteni jegykezelőként (a maradék ~15–20 nap ezért nem elegendő): · Kontrollhoz kötött dokumentumkezelés verziókövetéssel — Zammad nem dokumentumkezelő · Natív auditcsomag-export (kontroll + evidencia + státusz + felelős egyben) — csak custom API lekérdezéssel közelíthető · Fenyegetettség–kontroll kapcsolatrendszer (MITRE-alapú ajánlás, keresztkontroll-mapping) — nem modellezhető jegystruktúraként · Befejezési arány és készültségi dashboard kontrollonként — custom riportolási réteget igényel · Evidenciák kontrollhoz kötött, kereshető tárolása — a Zammad attachment-kezelése jegyhez köti, nem kontrollhoz Összefoglalva: a ~4 MFt-os fejlesztés egy működő, de korlátozott GRC-réteget ad — az operatív feladatkezelés és az egyszerűbb státuszkövetés megoldható, de az auditálható evidencialánc, a dokumentumkezelés és a natív riportolás hiánya megmarad. |
~250 000 Ft (2–3 nap adminisztrátori paraméterezés; keretrendszer, kontrollok, feladatok és szabályozási segédletek gyárilag adottak) ▸ Mi van gyárilag, mit kell paraméterezni?
Gyárilag adott, nem kell megépíteni:
· NIST 800-53 / ISO 27001 kontrollkészlet, kategóriákkal és szövegekkel · Kontrollhoz rendelt feladatsablonok (szabályozási segédletek alapján) · Fenyegetettség–kontroll kapcsolatrendszer (MITRE-alapú) · Dokumentumkezelő modul szabályozási segédletekkel · Audit export modul (XLSX/CSV/JSON, szűrhető) · Jegykezelő workflow sablonokkal és jóváhagyási logikával Amit a 2–3 nap paraméterezés során el kell végezni: · Biztonsági osztály és keretrendszer kiválasztása (automatikusan aktiválja a releváns kontrollokat) · EIR-ek felvétele és kontrollok hozzárendelése · Felhasználók, szerepkörök, jogosultságok konfigurálása · Fenyegetettségértékelés kitöltése (kérdőíves, ~1–2 óra) · Céginformáció, kockázati küszöbértékek beállítása |
| Riporting / audit export kialakítás | ~1 500 000 Ft (egyedi export logika + auditcsomag-sablon, API integráció) | ~150 000 Ft (natív XLSX/CSV/JSON export; csak validáció és tesztelés szükséges) |
| ConsultLess fenntartási megtakarítás (3 év) | — | −4 020 000 Ft (−1 340 000 Ft/év × 3) |
| 3 éves becsült TCO | ~9 600 000 – 11 100 000 Ft (bevezetési cost szervezetfüggő; sáv közepén ~10,3 MFt) |
~3 590 000 Ft (3 570 + 490 + 1 800 + 1 350 + 250 + 150 − 4 020 = 3 590 eFt) |
Opcionális: Prémium Support (199 000 Ft/hó)
A ConsultLess Prémium Support csomag havi 8 óra technikai támogatást és tanácsadást tartalmaz (96 óra/év), kereten felüli óra 30 000 Ft. Ez évi 2 388 000 Ft, 3 évre 7 164 000 Ft többletköltség — de egyben ~12 munkanap/év felhasználható szakértői kapacitást is jelent (pl. GRC workflow-k finomhangolása, audit-előkészítés). Ha a szervezet ezt teljes mértékben kihasználja, a TCO-különbség érdemben csökken; ha csak részben, a support nélküli összehasonlítás pontosabb. Zammad oldalán hasonló jellegű külső tanácsadói kapacitás eseti megrendeléssel, piaci áron (50–120 eFt/nap) szerezhető be.
A ConsultLess Prémium Support csomag havi 8 óra technikai támogatást és tanácsadást tartalmaz (96 óra/év), kereten felüli óra 30 000 Ft. Ez évi 2 388 000 Ft, 3 évre 7 164 000 Ft többletköltség — de egyben ~12 munkanap/év felhasználható szakértői kapacitást is jelent (pl. GRC workflow-k finomhangolása, audit-előkészítés). Ha a szervezet ezt teljes mértékben kihasználja, a TCO-különbség érdemben csökken; ha csak részben, a support nélküli összehasonlítás pontosabb. Zammad oldalán hasonló jellegű külső tanácsadói kapacitás eseti megrendeléssel, piaci áron (50–120 eFt/nap) szerezhető be.
TCO értelmezés: Mindkét rendszer üzemeltetési terhe stabilis működés esetén közel azonos és alacsony — a különbség (~0,25 óra/hét) valós, de nem meghatározó. A TCO-különbséget (~3,6 MFt vs. ~10,3 MFt sávközép) elsősorban a Zammad GRC-kialakítási és riportolási egyszeri ráfordítása magyarázza — ezek ConsultLess-nél gyárilag adottak. A Zammad licencköltsége nulla, de a NIST 800-53 megfelelőség kialakítása számottevő egyszeri belső erőforrást igényel; ez az, ami a TCO-képet megfordítja.
06 · Döntési útmutató
Melyik rendszer mikor a helyes választás?
A szervezet már használja a Zammadot. A döntési fa segít meghatározni, hogy a Zammad mellé szükséges-e a ConsultLess, vagy a Zammad részben/egészben kiváltható-e vele.
Döntési fa
Elsődleges igény az IT helpdesk / multichannel ticketing — a jelenlegi Zammad ezt lefedi?
IGEN → Zammad marad
NEM → lépj tovább
Szükséges NIST 800-53 / NIS2 auditálható GRC működés — amelyet a Zammad önmagában nem tud natívan lefedni?
IGEN → ConsultLess szükséges
NEM → lépj tovább
A Zammad megtartható helpdesk funkcióra, és a ConsultLess veszi át a GRC réteget?
IGEN → Zammad + ConsultLess párhuzamosan
Zammad kiváltható → ConsultLess önállóan
A jelenlegi Zammad helpdesk funkciója nélkülözhetetlen (e-mail, chat, multichannel)?
IGEN → Zammad + ConsultLess egymás mellett
NEM → ConsultLess önállóan (ticketing beépítve)
Mikor marad / kerül mellé?
Zammad (meglévő)
✓ Multichannel helpdesk (email, chat, telefon) szükséges marad
✓ SLA-k operatív support folyamatokra
✓ Belső IT support, ügyfélkommunikáció
✗ Önmagában nem fedi le a NIST 800-53 GRC réteget
✗ Kontrollkövetés, evidencialánc, audit riport csak custom fejlesztéssel
NIST 800-53 megfelelőséghez önmagában nem elegendő — mellé GRC réteg szükséges.
✓ SLA-k operatív support folyamatokra
✓ Belső IT support, ügyfélkommunikáció
✗ Önmagában nem fedi le a NIST 800-53 GRC réteget
✗ Kontrollkövetés, evidencialánc, audit riport csak custom fejlesztéssel
NIST 800-53 megfelelőséghez önmagában nem elegendő — mellé GRC réteg szükséges.
Mikor válasszuk?
ConsultLess
✓ NIS2 / ISO 27001 audit 2 éven belül várható
✓ Nincs egységes GRC platform
✓ Megfelelőségi feladatok Excelben / e-mailben élnek
✓ Kontrollhoz kötött feladatkezelés szükséges
✓ Auditálható bizonyítéklánc szükséges
✓ A vezetőség GRC státuszt és készültségi képet akar látni
A jelen forgatókönyvben (10–50 fő, NIST Low, nincs GRC) ez az ajánlott elsődleges platform.
✓ Nincs egységes GRC platform
✓ Megfelelőségi feladatok Excelben / e-mailben élnek
✓ Kontrollhoz kötött feladatkezelés szükséges
✓ Auditálható bizonyítéklánc szükséges
✓ A vezetőség GRC státuszt és készültségi képet akar látni
A jelen forgatókönyvben (10–50 fő, NIST Low, nincs GRC) ez az ajánlott elsődleges platform.
Végső szakmai álláspont
A szervezet már rendelkezik Zammaddal — ez a helpdesk és operatív ticketing réteg, és ebben a szerepében erős marad. A kérdés az, hogy a Zammad önmagában le tudja-e fedni a NIST 800-53 megfelelőségi réteget. A válasz: nem natívan. A GRC adatmodell, kontrollkövetés, evidencialánc és audit riporting a Zammadban csak egyedi fejlesztéssel, külön projektként alakítható ki — ez idő, kockázat és ráfordítás.
A ConsultLess ezt a hiányzó réteget tölti be: natív GRC adatmodellel, kontrollhoz kötött ticketinggel és audit exportokkal. On-premise jellege miatt nem mentesít az infrastruktúra alól, de a megfelelőségi működés kialakításának kockázata lényegesen alacsonyabb.
Javasolt architektúra 10–50 fős szervezetnél: Ha a multichannel helpdesk (email, chat, telefon) nélkülözhetetlen marad → Zammad + ConsultLess egymás mellett. Ha az operatív IT helpdesk szükséglete kezelhető a ConsultLess beépített ticketingjével → ConsultLess önállóan, Basic licenccel és Prémium Support-tal.