Bilgi Güvenliği Politikamız
16 Mart 2022

BİLGİ GÜVENLİĞİ POLİTİKASI
BANAZ DEVLET HASTANESİ
1.GİRİŞ

Bu doküman Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğünün hazırlamış olduğu Bilgi Güvenliği Politikaları Yönergesi ve kılavuzuna uyum çalışmaları kapsamında hazırlanmış olup, Banaz Devlet Hastanesi'nde yürütülen Bilgi Güvenliği çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içermektedir. Bu politikada tüm bölümleri ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.

2.TANIM VE KISALTMALAR

Bilgi güvenliği, “bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır.

Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır. Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilginin yer aldığı belli başlı ortamlar;

Fiziksel ortamlar; Kâğıt, tahta, pano, faks, Çöp/Atık kâğıt kutuları, Dolaplar vb

Elektronik ortamlar; Bilgisayarlar, mobil iletişim cihazları, e-posta, USB, CD, Disk, Disket vb manyetik ortamlar.

Sosyal ortamlar; Telefon görüşmeleri, kişiler arası iletişim, yemek araları, toplu tasıma araçları vb sosyal aktiviteler.

Tanıtım platformları; internet siteleri, WEB, broşürle, reklamlar, sunular, eğitimler, video ya da görsel ortamlar.

Bilgi hangi formda olursa olsun, mutlaka uygun bir şekilde korunmalıdır. Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür

a- BGYS: Bilgi Güvenliği Yönetim Sistemi

b- BTHYS: Bilgi Teknolojileri Hizmet Yönetim Standardı

c- Risk Yönetimi: Bilgi güvenliği risklerinin analizi, değerlendirilmesi, işlenmesi ve sürekli iyileştirilmesi amacıyla yürütülen yönetimsel faaliyetler.

d- Risk Analizi: Tehdit ve iş etkisinin çarpımı olan risk puanının bulunması amacıyla her bir bilgi varlığı için zayıflıkların, tehditlerin, iş etkilerinin bulunması ve hesaplanması çalışması.

e- Risk Değerlendirme: Risk analizi sonucunda bulunan değerlerin yorumlanması ve derecelendirilmesi.

f- Risk İşleme: Risk değerlendirme sonuçlarına bağlı olarak kaçınma, kabul, kontrol, transfer seçeneklerinden birinin seçilmesi ve uygulama planı.

g- Artık Risk: Risklerin işlemeden sonra kalan miktarıdır.

h- Risk Derecelendirmesi: Riskin önemini tayin etmek amacıyla tahmin edilen riskin, verilen risk kriterleri ile karşılaştırılması sürecidir.

i- Riskin Kabulü/Kabul edilebilir Risk: Bir riski kabul etme kararı. Bir riskin zararını (negatif sonuçlarını) kabullenme.

j- Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunmasıdır. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar.

k- Bilgi güvenliği ihlal olayı: İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı.

l- Bilgi güvenliği yönetim sistemi (BGYS) : Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır. Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

m- Uygulanabilirlik Bildirgesi (SOA-Statement of Applicability): Kuruluşun BGYS’si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirgedir. Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerinin sonuçları ve çıkarımlarını, yasal ve düzenleyici gereksinimleri, anlaşma yükümlülüklerini ve kuruluşun bilgi güvenliği için iş gereksinimlerini temel alır.

n- Etki: İş hedeflerinin başarısını etkileyen değişim.

o- Bilgi Güvenliği Riski: Açıklıklardan fayda sağlamak suretiyle kuruluşa zarar verebilecek varlık ya da varlık gruplarının potansiyel tehdididir. Bir olayın ve sonucunun olasılığının kombinasyon koşulları olarak ölçülür.

p- Riskten kaçınma: Riski oluşturan durumdan kaçınma kararıdır.

q- Risk iletimi: Karar verici veya diğer ortaklar arasında risk hakkındaki bilgiyi paylaşım ya da değişimdir.

r- Riski belirleme: Riski oluşturan öğelerin ortaya çıkartılması, tasnif edilmesi ve özelliklerinin belirlenmesini içeren süreçtir.

s- Riski transfer etme: Bir riskin kayıplarını diğer paydaşlarla paylaşma. (Sigorta yaptırma gibi)

t- YGG: Yönetimin Gözden Geçirilmesi

u- PUKÖ: Planla, Uygula, Kontrol Et, Önlem Al

v- EYS: Entegre Yönetim Sistemi

3. AMAÇ

Bilgi güvenliği yönetim sisteminin amacı, Banaz Devlet Hastanesi’nin temel ve destekleyici tüm faaliyetlerinin sürekliliğini, tüm fiziksel ve elektronik bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğinin, mevcut yasa, düzenleme ve yönergelere uygunluğunu gözeterek, TS ISO/IEC 27001 standardına uygun şekilde yürütülmesi için gerekli çalışma kurallarını oluşturmaktır.

BGYS Politikasının amacı, Banaz Devlet Hastanesinin tüm bilgi varlıklarını ve sistemlerini, kasıtlı veya kasıtsız, dâhili veya harici tüm tehditlerden korumak için kontrol mekanizmaları oluşturmaktır. Güvenlik ihlal olaylarının ve güvenlik risklerinin en aza indirilmesi için, yöneticilerin ve çalışanların; bilgi güvenliği, bilgi sahipliği ve bilgi sorumluluğu hususlarında sorumluluklarını çerçeveler. Banaz Devlet Hastanesi Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 BGYS standardının gerekliliğini karşılayacak şekilde PUKÖ (Planla, Uygula, Kontrol Et, Önlem Al) sürekli iyileştirme döngüsü çerçevesinde bir süreç olarak uygulanmaktadır. BGYS çalışmalarını; fiziksel ve çevresel güvenlik, insan kaynakları güvenliği, iletişim ve haberleşme güvenliği, bilgi teknolojileri güvenliği gibi farklı alanlardaki kontrollerin, risk yönetimi metoduyla ilişkilendirilerek yürütülmesinin sağlanması için uygulanan kontrollerin özeti bu politikada verilir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili politika ve prosedürlere bakılmalıdır. Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst dokümandır

Bilgi Güvenliği Politikasının amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunması ve yürütülen faaliyetlerin etkin, doğru, hızlı ve güvenli olarak gerçekleştirilmesini temin etmektir.

Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten, insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti bu politikada verilmektedir.

Bilgi Güvenliğinin üç unsuru;

A-Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti edilmesi. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.

B-Bütünlük:

Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz.

C-Kullanılabilirlik (Erişilebilirlik):

Yetkilendirilmiş kullanıcıların, gerek duyduklarında bilgiye ve ilişkili kaynaklara erişime sahip olabileceklerinin garanti edilmesi. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

4.KAPSAM:

Banaz Devlet Hastanesi Bilgi Güvenliği Yönetim Sistemi kapsamı; Banaz Devlet Hastanesi’ne bağlı birimlerin iş ve işlemlerini yürütebilmeleri için gerekli olan bilgi akışının sağlanması yönünde; Donanım, Network ve İnternet, Yazılım Geliştirme, Yazılım Tedarik, E-posta, Sunucu sistemleri, veri tabanı sistemleri, sistem ve bilgi güvenliği, bilişim danışmanlığı hizmetleri için yürütülen faaliyetlerde kullanılan ve bu faaliyetlerin gerçekleştirildiği mekân, altyapı, donanım, yazılım fiziksel ve elektronik ortamda yer alan bilgi varlıkları ile insan kaynakları ( Kapsam için tanımlanmış fiziksel alanlarda Müdürlüğe ait iş ve işlemleri yürüten 657 memurlar, yüklenici firma çalışanları ve danışmanlar ) olarak tanımlanmıştır. Yüklenici veya tedarik zinciri sistemi içinde hizmet veren firma çalışanları, yürütülen tüm hizmetler ve bu süreçlerde görev alan tüm personeli kapsamakla birlikte;

a. Veri dosyaları, sözleşmeler vb. den oluşan bilgi varlıkları,

b. Uygulama yazılımları, sistem yazılımları ve hizmetlerden oluşan yazılım varlıkları,

c. Yönlendirici cihazları, güvenlik cihazları, sistem yönetim sunucuları, yasal yükümlülükler kapsamında kurulmuş sunucu sistemleri, bilgisayarlar, iletişim donanımı ve veri depolama ortamlarını içeren fiziksel varlıklar,

d. Tüm işlevlerin yerine getirilmesi ile ilgili aydınlatma, iklimlendirme, kablolama gibi unsurlardan oluşan hizmet varlıkları,

e. Kapsamdaki faaliyetlerin yürütülmesini sağlayan insan kaynakları varlıklarını kapsamaktadır

5.HEDEF:

Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve erişilebilirlik prensiplerine uyacak önlemler almak amacıyla aşağıda detayları belirtilen risk yönetimi faaliyetleri yürütülmektedir. Her bir varlık için risk seviyesinin kabul edilebilir risk seviyesinin altında tutmak hedeflenmektedir.

Risk yönetimi ve kontrollerin uygulanması sürekli bir faaliyettir ve kabul edilebilir risk seviyesinin altına inen riskler için de iyileştirme yapılması hedeflenmektedir.

- Kurumu içeriden veya dışarıdan gelebilecek tehditlere karşı korumak, üretilen veya kullanılan bilgilerin gizliliğini güvence altına alarak kurumun imajını korumak,

- Kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak,

- Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak

- Bilgi Güvenliği prosedürlerini yerine getirerek personelin bilgi güvenliği farkındalıklarını artırmak amacıyla kurum bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.

BGYS POLİTİKASI:

BGYS politikası, T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir dokümandır. Bu politikada tüm bölümleri ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.

6.BİLGİ GÜVENLİK İLKELERİ:

Bilgi güvenliği ilkeleri, kurumdaki bilgi güvenliği ile ilgili genel kuralları koyar. Bu ilkeler kullanıcılara çeşitli konu ve kavramlarla ilintili beklenen davranışları tanımlar.

1-Kurum bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:

• Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamalı,

• Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli,

• Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı,

• Bilgi güvenliği ihlal olaylarını Bilgi Güvenliği Yetkilisine bildirmeli, raporlamalı ve bu ihlalleri engelleyecek önlemleri almalıdır.

• Kurum içi bilgi kaynakları (duyuru, döküman vb.) yetkisiz olarak 3.kişilere iletilemez.

• Kurum bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacı kullanılamaz.

2-Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla sorumludur.

• İş süreçlerinin gereksinimi olarak her türü bilgi, en az kesintiyle kapsam dâhilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.

• Bilgilerin bütünlüğü her durumda korunacaktır.

• Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.

• Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.

• Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel ya da elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.

 7. BİLGİ GÜVENLİĞİ ORGANİZASYONU

Bilgi Güvenliği Komisyonu:

Bilgi Güvenliği Yönetim Hizmet Kalite Standartlarının gerekliliklerini yürütmek üzere Banaz Devlet Hastanesi bünyesinde oluşturulmuştur.

Komisyon Başkanı:

BAŞHEKİM

Üyeler

1. İdari ve Mali İşler Müdürü

2. Sağlık Bakım Hizmetleri Müdürü

3. Kalite Direktörü

4. Bilgi İşlem Sorumlusu

Bilgi Güvenliği Üst Yönetim Görev, Yetki ve Sorumluluklar:

- Bilgi Güvenliği altyapısını oluşturmak için sunulacak projelere ait yönetim temsilcilerini atamak ve yetkilendirmek.

- Bilgi Güvenliği Komisyonu tarafından hazırlanmış Bilgi Güvenliği konularında geliştirilen politikaları uygulamak üzere gerekli altyapıyı oluşturmak için Bilgi Güvenliği Komisyonu tarafından hazırlanmış projelere gerekli kaynağı sağlamak.

- Bilgi Güvenliği Komisyonu tarafından kabul edilmiş Bilgi Güvenliği Politikasını onaylamak.

- Kurum bünyesinde bilgi işleme olanaklarını kullanarak bilginin üretilmesini, taşınmasını, geliştirilmesini, yönetilmesini ve saklanmasını sağlayan tüm çalışanlar (Danışmanlar ve yüklenici firma personeli dahil) Bilgi Güvenliği farkındalığının artırılmasına yönelik planlanan çalışmaların etkinliğinin artırılması için teşvik edici faaliyetleri onaylamak.

- Bilgi Güvenliği konularında yapılacak olan çalışmalarına işlerlik kazandırmak, sürdürmek iyileştirmek ve gözden geçirmek için gerekli iç denetimlerin yapılmasına onay vermek.

Çalışan Görev, Yetki ve Sorumlulukları:

Bilgi Güvenliği Komisyonu tarafından hazırlanan ve üst yönetim tarafından onaylanan tüm bilgi güvenliği kurallarına kendi çalışma alanlarının gerektirdiği şekilde uymak.

BGYS KOMİSYONU

BGYS Komisyon Yetkilisi Görev, Yetki ve Sorumlulukları:

• Bilgi Güvenliği konularının altyapısını oluşturacak projeler hazırlanmasını sağlamak.

• Çalışmaların yürütülebilmesi için gerekli komisyonları, çalışma gruplarını oluşturmak ve görev tanımlarını yapmak.

• BGYS Komisyonuna başkanlık etmektir.

• Banaz Devlet Hastanesi bünyesinde verilen hizmetleri yasal mevzuat iş gerekleri ve gereksinimlerine uygun olarak uluslararası standartlar seviyesinde bir hizmet kalitesini yakalamak amacıyla TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, TS ISO/IEC 20000 Bilgi Teknolojileri Hizmet Standardı, Kurumsal Bilgi Güvenliği Mimarisi gibi konuların gerekliklerinin yerine getirilmesi için gerekli çalışmaları yapmak.

•Projelerde referans alınan standartların temel gereksinimlerinden olan Bilgi Güvenliği Yönetim Sistemi gerekliliklerini oluşturmak ve yönetmek.

•Yönetim Sistemi dokümantasyonlarının hazırlanmasına rehberlik etmek ve hazırlanan dokümanları onaylamak.

•Üst yönetim onayı gerektiren dokümanların üst yönetim tarafından onaylanmasını sağlamak.

•Projelerin yürütülebilmesi için gerekli olan yönetim hizmetleri çerçevesinde ihtiyaçların temin edilmesinin sağlanması.

•Yönetim sistemi gerekliliklerinden olan Yönetim Gözden Geçirme, İç Denetim, Farkındalık Eğitimleri gibi faaliyetlerin gerçekleşmesini sağlamak.

•Yapılan çalışmalar doğrultusunda yapılacak olan belgelendirme dış denetimlerini ( Belgelendirme ve ara denetimler) organize etmek.

•Projelerin daha verimli bir şekilde yürütülebilmesi için BGYS Birim personelinin kişisel gelişimleri için gerekli görülen eğitimleri düzenlemek ya da dış taraflarda düzenlenmiş eğitimlere gönderilmesini sağlamak konu ile ilgili tüm yasal izin ve finansal kaynağın sağlanmasını organize etmek.

• Banaz Devlet Hastanesi bünyesinde verilen hizmetleri yasal mevzuat iş gerekleri ve gereksinimlerine uygun olarak uluslararası standartlar seviyesinde bir hizmet kalitesini yakalamak amacıyla TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, TS ISO/IEC 20000 Bilgi Teknolojileri Hizmet Standardı gibi standartlar Kurumsal Bilgi Güvenliği Mimarisi gibi konuların gerekliklerinin yerine getirilmesi için proje hazırlamak, yapılan çalışmalara katkı sunmak.

•BGYS Yönetim Temsilcisi ve Proje Sorumlusu & Koordinatörü ile planlanan ve yürütülen çalışmalara katkı sunmak ve rehberlik etmek.

•Projelerin yürütülebilmesi için gerekli olan tüm dokümantasyon (Politika, Prosedür, Plan, Süreç Analizi, Risk Yönetimi, Etki Analizi gibi) gerekliliklerine katılmak, dokümantasyon geliştirme faaliyetlerinde yer almak.

• Hazırlanan dokümantasyonun yönetim temsilcisi ve (gerekli olanların) üst yönetim tarafından onaylanmasını sağlamak.

•Projelerin yürütülebilmesi için gerektiğinde, komisyon toplantısı, çalışma grupları toplantısı, yüklenici firma ziyareti birim ziyareti gibi ziyaretlerin organize edilmesi gerekli yasal izinlerin alınması gerekli araç izinlerinin alınması gibi hususlarda gerekli organizasyonları yapar.

•Projelerin yürütülebilmesi için gerekli olan tüm dokümantasyon (Politika, Prosedür, Plan, Süreç Analizi, Risk Yönetimi, Etki Analizi gibi) gerekliliklerini yerine getirme hususunda çalışmalara katılmak hazırlanan dokümantasyonun ilgili taraflar tarafından okunmasını ve anlaşılmasını sağlamak.

•Projeler kapsamında yapılacak olan farkındalık eğitimi, temel eğitim, iç denetçi eğitimi gibi konular gereği gerekli düzenlemeleri ve organizasyonları yapmak, eğitim değerlendirmeleri yapmak, katılımcı imzalarının alınmasını sağlamak.

•Yönetim sistemi gerekliliklerinden olan Yönetim Gözden Geçirme, İç Denetim, Farkındalık Eğitimleri gibi faaliyetlerin zamanında ve efektif bir şekilde gerçekleştirilmesi için gerekli planlamaların gerçekleşmesini sağlamak.

BGYS Komisyonu Görev, Yetki ve Sorumluluklar:

Banaz Devlet Hastanesi tarafından, bilgi güvenliğinin iç organizasyonunun sağlanması için bilgi güvenliği konusunda uzmanlaşmış, bilgi sistemlerinin kapsamı göz önüne alınarak yeterli sayıda personelden oluşan, teknik, idari ve hukuki süreçlerde çalışmalarda bulunmak üzere “ Bilgi Güvenliği Yönetim Sistemi Komisyonu” oluşturulur. BGYS Komisyonu Bilgi Güvenliği Yetkilisi tarafından oluşturulur, Üst yönetim tarafından onaylanır. Bilgi Güvenliği Yetkilisi bu komisyona başkanlık eder.

Komisyonun Görevi;

- Bilgi güvenliği politika ve stratejilerini belirlemek, gerektiğinde Bilgi Güvenliği Politikaları Yönergesine bağlı olarak çalışma grupları tarafından hazırlanacak olan kılavuzlarla ilgili yenileme kararlarını vermek,

- Bilgi güvenliği politikalarının uygulanmasının etkinliğini gözden geçirmek,

- Bilgi güvenliği faaliyetleri ve kontrollerinin tüm kurum ve kuruluşlarda koordine edilmesini sağlamak.

- Bilgi Güvenliği konularının altyapısını oluşturacak projelerin yürütülebilmesi için gerekli onay vermek.

- BGYS yönetim temsilcisi ve BGYS birimi tarafından gerekli görüldüğünde toplantılara katılmak.

- Kapsam kararları, risk değerlendirme metodolojisi, kontrollerin uygulanması konularında onay vermek ve bağlı oldukları birimlerde uygulanmasını sağlamak.

- BGYS birimi tarafından hazırlanan projelerin gerekliliği olan, birim çalışanlarının, danışmanların ve yüklenici firma personellerinin farkındalık düzeylerinin artırılmasına yönelik organize edilen çalışmaların tüm tabana yayılması için gerekli desteği vermek.

BGYS Çalışma Grubu, Yetki ve Sorumluluklar:

Komisyona bağlı olarak çalışmak üzere bilgi güvenliğinin farklı alt alanlarında “ çalışma grupları” teşkil edilir. Çalışma gruplarının oluşturulurken teknik, hukuki ve idari disiplinlerden personel bulunmalıdır.

- BGYS çalışma gruplarını BGYS Yönetim Temsilcisi oluşturur, BGYS Komisyonu kabul eder ve üst yönetim onaylar.

- Çalışma grupları BGYS birimi ve Yönetim temsilcisi tarafından planlanan çalışmalara katılır.

- Çalışma grupları BGYS birimi ve Yönetim temsilcisine karşı sorumludurlar.

8. BİLGİ HASSASİYETİ VE RİSKLER

Bilgi Varlıklarımız

T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi bünyesinde kapsam dâhilinde yer alan tüm fiziki alanlarda bulunan birimlerin yapmış oldukları işlerde üretilen bilgiler bilgi varlıklarımızı oluşturmaktadır.

Masaüstü bilgisayarlar, laptoplar, CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak dolapları, sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında (internet, email, telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır.

Varlık Sınıflandırılması

Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi ürettiği bilgileri sınıflandırmalıdır. Bu sınıflandırmaya göre halka açık dokümanlar web sitesinde yayınlanan ve işlem için üçüncü taraflara verilen kağıt veya elektronik ortamdaki başvuru formu, duyurular vb. bilgilerdir.

9. BİLGİ GÜVENLİĞİ POLİTİKA, PROSEDÜR VE KLAVUZU

BGYS Politikası kurumumuzca yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi kontrol ve risk yönetimi amaçları çerçevesinde adresler.

Bilgi Güvenliği Politikası ve Kılavuzu

T.C. Sağlık Bakanlığı tarafından yayımlanan Bilgi Güvenliği Politikaları Yönergesi ve kılavuzu çerçevesinde, Bilgi sistemleri tarafından yayınlanan bu dokümanda genel bilgi güvenliği kuralları tanımlanmıştır. Her çalışan bu dokümanda belirtilen kurallara uymakla sorumludur.

Bilgi Güvenliği Prosedürleri ve Planları

Bilgi yedekleme, ihlal olayı müdahale, iç denetim, doküman ve kayıtların kontrolü, kullanıcı tanımlama, iş sürekliliği planı, acil durum eylem planı, risk işleme planı gibi prosedür ve planlarda sistemin işleyişi anlatılmaktadır. İlgili çalışanlar yönetimce tanımlanan ve yayınlanan bu prosedür ve planlara uygun hareket etmelidirler.

Bilgi Güvenliği Sözleşmeleri

Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak kurum politikalarına uyacaklarını taahhüt ederler. Taahhütname ve kurallar farklı dokümanlardır. Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe alınan her çalışanın (PC kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir.

Banaz Devlet Hastanesi bünyesinde çalışan tüm personele Bilgi Güvenliği Eğitimi verilmesi planlanmıştır.

10. BİLGİ GÜVENLİĞİ EĞİTİMLERİ

Günümüzde kurumlar ve bireylerin sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli korunması gerekmektedir. Koruma bir takım fiziksel ve sistemsel önlemlerin yanında bireylerin bilgi güvenliğine ilişkin tehdit ve risklerden, kurum bilgi güvenlik politika yada kurallarından haberdar olması, bu tehditlere nasıl karşı koyabileceği, olası riskleri mümkün olabilecek en düşük risk düzeyinde nasıl tutabileceği konusunda bilgilenmesiyle mümkün olabilir.

Güvenliğin en zayıf halkası olarak da kabul edilen insan faktörü üzerinde çesitli farkındalık programları uygulanması gerekmektedir. Bu programların en başında ise bilgi güvenliği eğitimi yer alır.

11.ERİŞİM KONTROLU

T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi bilgi erişimi için kullanılacak yöntemlerin oluşturulmasıdır. Erişim kontrolu, T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi ’nİn, bütünüyle bilgiye erişimi kurallarını kapsamaktadır. Bu sürecin işletilmesindenise BGYS Komisyonu veT.C. Sağlık Bakanlığı Banaz Devlet Hastanesi makamı sorumludur.

  • Erişim Kontrolü Politikası

    Banaz Devlet Hastanesi tarafından, Bilgi Güvenliği Politikaları Prosedürü’ne uygun olarak, Erişim Kontrol Politikası oluşturulmuştur.

  • Ağlara ve Ağ Hizmetlerine Erişim

    Banaz Devlet Hastanesinde  bulunan ağlar birbirinden bağımsız olarak çalışmaktadır. Bütün tesisler SBA (Sağlık Bilişim Ağı) üzerinden belirli protokollerle haberleşmektedir.   Erişimler SBA devleri arası ve bu ağlardan dışarıya verilen internet ulaşımıdır. Misafir bağlantısına izin verilmemektedir.

  • Kullanıcı Erişim Yönetimi

    Kullanıcı Kaydetme ve Kayıt Silme

    Kullanıcı oluşturma Banaz Devlet Hastanesi Bilgi İşlem departmanı tarafından ilgili formlar kullanılarak kayıt edilmekte ve istihdamın sonlandırılmasında da İşten ayrılış formu kullanılarak kullanıcı pasif hale getirilmektedir.

    Kullanıcı Erişimine İzin Verme

    Kullanıcı oluşturulduktan sonra, çalışacağı birime göre SBYS yetki ve rolleri tanımlanmaktadır. Birim değişikliğinde HBYS Yetki Değişikliği Formu kullanılmaktadır.  

    Ayrıcalıklı Erişim Haklarının Yönetimi

    Ayrıcalıklı erişim hakları, bilgi işlem alt yapısında kullanılan tüm cihazlar üzerinde yalnızca  sistem-ağ yöneticisine verilmektedir. Diğer personelin ayrıcalıklı erişim hakları kısıtlanmıştır. Sunucu üzerinde yönetici (administrator) olarak yalnızca sistem yöneticisi ayrıcalıklı erişim hakkına sahiptir. VTYS ayrıcalıklı erişim hakları, hizmet alınan yüklenici firma sorumluluğundadır.

    Kullanıcılara Ait Gizli Kimlik Doğrulama Bilgilerinin Yönetimi

    Banaz Devlet Hastanesinde, kimlik doğrulama PAROLA YÖNETİM POLİTİKASI kullanılarak yapılmaktadır. Her kullanıcı kurumun sistemlerine belirlenen kullanıcı adı ve parolasıyla girmektedir. Ayrıca PDKS ve kapı geçiş erişimleri personel kartı ile doğrulanması yapılmaktadır ve bu erişimler, işe başladığında tanımlanmaktadır.  E-Imza, Reçete vb. sistemlerde akıllı kartlar ile  doğrulaması yapılmaktadır. Akıllı kart başvuruları personelin kendisi tarafından yapılmaktadır.

    Kullanıcı Erişim Haklarının Gözden Geçirilmesi

    Kullanıcı erişim hakları Yönetimin Gözden Geçirme toplantılarında gözden geçirilerek gerekli değişiklikler sağlanır.

    Erişim Haklarının Kaldırılması veya Düzenlenmesi

    Erişim hakları Banaz Devlet Hastanesi personel istihdamının sonlandırılması durumunda İŞTEN AYRILMA FORMU kullanılarak erişim hakları kaldırılır.

  • Kullanıcı Sorumlulukları

    Gizli Kimlik Doğrulama Bilgisinin Kullanımı

    Banaz Devlet Hastanesindeki kullanıcılara teslim edilen parolaların ifşa edilmeyeceğine dair taahhüt Personel Gizlilik Sözleşmesi ile alınmaktadır.

  • Hizmet Alımlarında Sistem ve Uygulama Erişim Kontrolü

Bilgiye Erişimin Kısıtlanması

Hizmet alınan yüklenici tarafından yapılacak erişimler KURUMSAL GİZLİLİK TAAHHÜTNAMESİ kullanılarak yapılmalıdır. Yüklenici personeli tarafından erişimler kurum tarafından oluşturulmuş kimlik doğrulama bilgisi ( parolalar) kullanılarak sağlanmaktadır.

Güvenli Oturum Açma Prosedürleri

Sunucu, SQL Server ve ORACLE VTYS ‘ ne erişim kimlik doğrulama ile yapılmaktadır.

Parola Yönetim Sistemi

Banaz Devlet Hastanesi personeli tarafından kullanılmakta olan parolalar işletim sistemi parolalarıdır. Bu parolaların kullanımına ilişkin PAROLA GÜVENLİĞİ POLİTİKASI oluşturulmuş ve kullanılmaktadır.

Ayrıcalıklı Destek Programlarının Kullanımı

Hizmet alımlarında yüklenici personelleri tarafından sistem ve uygulamaların kontrollerini geçersiz kılabilecek programlarının kullanılmaması konusunda taahhüt, KURUMSAL GİZLİLİK TAAHHÜTNAMESİ ile kayıt altına alınmaktadır.

Sorumluluk

Bu politikanın kullanılmasından Banaz Devlet Hastanesi Bilgi Güvenliği Alt Komisyonu ve Bilgi Güvenliği Yetkilisi,  Bilgi Güvenliği Personelleri sorumludur.

12.BİLGİ GÜVENLİĞİ İŞE BAŞLAMA, GÖREV DEĞİŞİKLİĞİ VE İŞTEN AYRILMA SÜRECİ

Banaz Devlet Hastanesi bünyesinde işe başlama ve işten ayrılma süreçlerinde uyulması gereken süreçleri ifade eder.

İşe Başlayış

- İşe başlayan her personele bilgi güvenliği ve sosyal mühendislik zafiyetleri konularında eğitim verilmelidir.

- Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak kurum politikalarına uyacaklarını taahhüt ederler. Taahhütname ve kurallar farklı dokümanlardır. Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe alınan her çalışanın (PC kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir.

- Kullanacağı bilgi sistemlerine yönelik kullanıcı adı ve şifreleri tanımlanmalıdır.                                 

- EBYS tanımlaması için ilgili personellere saglik.gov.truzantılı e-mail adresi tanımlanmalıdır. İl içi yer değişikliklerinde ise sistem üzerinden kurum/birim değişikliği tanımlaması yapılmalıdır. -Tüm personele kurum kimlik kartı çıkartılmalıdır.

6.1.2.İşten Ayrılış

-Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

-Görevden ayrılan personelin yaka kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

-Kullandığı bilgi sistemlerine yönelik (Tsim, Çkys, Ebys vb.) kullanıcı adı ve şifreleri sistem yöneticisi tarafından pasif hale getirilmelidir.

-Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir.

-Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir.

-Görevden ayrılan personel işten ayrılma onay formunu doldurarak bağlı bulunduğu kurumun insan kaynakları birimine teslim etmelidir.

-İlgili form doldurulmadan personelin kurum ile ilişiği kesilmez

6.1.3.Görev Değişikliği

-Bölüm ya da görev değişikliğinin gerçekleştirilebilmesi için, personelin geçeceği bölümde boş bir kadro bulunması gerekmektedir.

-Hangi sebeple olursa olsun, tüm personel görev / bölüm değişiklik talepleri “Personel Bölüm / Görev Değiştirme Formu” aracılığı ile ve bu prosedürde belirtilen yöntemlerle yapılır.

-Tüm görev / bölüm değişiklikleri işgücü ve kariyer planlama prensiplerine uygun, kurumun kısa ve uzun vadeli ihtiyaçları dikkate alınarak, adil, şeffaf ve kurumsal bir bütünlük içinde gerçekleştirilir.

-Personel ile yöneticileri arasındaki kişisel problemler, bölüm / görev değişikliği için bir gerekçe oluşturamaz.

-Bölüm / Görev Değiştirme Talepleri

-Bölüm Sorumlusunun Talebi

-İki ayrı Bölüm Sorumlusu karşılıklı görüşme ve mutabakat sonucu kendi bölümleri arasında personel değiştirmeye karar verebilirler. Mutabakata varıldıktan sonra bölümler durumu bağlı bulundukları yöneticilerine bildirirler. Personelin de görüşünü alır.

-Birim / Bölüm Yöneticileri Talebi

-Birim / Bölüm Yöneticileri, bir personelin başka bir bölümde daha faydalı olabileceğini düşünülebilir. Bu durum, bölüm sorumlularının / yöneticilerinin ve personelin görüşüne sunulur.

-Personel Talebi

-Personel bölüm / görev değiştirmek isterse çalıştığı, bağlı olduğu bölüm sorumlusuna / yöneticisine bildirir. İlgili bölüm sorumlularının / yöneticilerinin görüşlerini alır.

-Bölüm / Görev Değişikliğinin Sonuçlanması

-Bölüm / görev değişikliği gerçekleştirilen personelin yeni görevi hakkında hastane içindeki duyurusu Birim / Bölüm Yöneticileri tarafından üst yazı ile yapılır.

13.KURUMA AİT GİZLİ KALMASI GEREKEN BİLGİLER:

  • 13/05/1964 tarihli ve 6/3048 sayılı Bakanlar Kurulu kararı ile yürürlüğe konulan “Gizlilik Dereceli Evrak ve Gerecin Güvenliği Hakkındaki Esaslar” ile tanımlanmış ve usulüne uygun olarak etiketlenmiş olan ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL gizlilik derecesindeki her türlü veri, bilgi ve belge.
  • Kurum tarafından işlenen (24/3/2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan) kişisel veriler ile (20/10/2016 tarih ve 29863 sayılı Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkındaki Yönetmelik ile tanımlanan) kişisel sağlık verileri.
  • Banaz Devlet Hastanesi veya hizmet sunulan ilgili birime ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar, bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin çalışma süresi içerisinde yapmış olduğu işler.
  • Açıklanması halinde kişi ve kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan her türlü bilgi ve belge.

14.YÜKÜMLÜLÜKLER:

  • Personel, Banaz Devlet Hastanesine ait gizli bilgilerin korunması için aşağıdaki kurallara uyacağının beyanı olarak bu sözleşmeyi imzalar.
  • Personel, Banaz Devlet Hastanesi Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzunda yer alan koşullara uygun hareket eder.
  • Personel, bu sözleşme hükümlerine uygun davranmaktan, ihlali halinde ise Bakanlığa, Genel Müdürlüğe ve üçüncü kişilere vereceği her türlü zarardan sorumludur. Sözleşmenin ihlal edilmesi sonucu doğacak tüm hukuki ve cezai sorumlukları peşinen kabul eder.
  • Personel, Banaz Devlet Hastanesinde uygulanmakta olan Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında yayımlanmış politika, prosedür, süreç ve sözleşmelere uygun davranır. Bahse konu dokümanlarda belirtilen hususları eksiksiz olarak yerine getirir.
  • Personel, Banaz Devlet Hastanesi tarafından kendisine teslim edilmiş veya erişim yetkisi verilmiş olan gizli kalması gereken bilgileri, sadece görevi ile ilgili işler için kullanır. Bu bilgileri kendi gizli bilgisi gibi korur ve bilmesi gereken yetkili kişiler haricinde hiç kimse ile paylaşmaz. Personel, bilgi paylaşabileceği kişiler konusunda tereddütte kalırsa, bilginin sahibi olan veya süreci yöneten Daire Başkanlığı ile irtibata geçerek bu bilgileri kimlerle paylaşabileceğini teyit eder.
  • Personel, özel olarak yetkilendirildiği durumlar dışında, hizmet verilen tarafların yetkilileri de dâhil olmak üzere yetkisi olmayan hiç kimse ile gizli kalması gereken bilgileri paylaşmaz. Yetkisi olmadığı halde, bulunduğu görev ve makamı kullanarak kendisinden bu bilgileri talep eden kişileri, yöneticisine bildirir.
  • Personel, görevi kapsamında kendisine teslim edilmiş olan gizli kalması gereken bilgileri, ilgili mevzuata uygun olarak korur, işler ve aktarır. Bu bilgileri, yetkisi olmayan üçüncü kişilerin yanında konuşmaz.
  • Personel, gizli kalması gereken bilgileri hiçbir kişi, grup, kurum veya kuruluşun menfaati için kullanmaz.
  • Personel, görevi ile ilgili olsun veya olmasın, edindiği ve gizlilik arz eden her türlü bilgiyi sır olarak saklamak ve bunları üçüncü kişilere hiçbir şekilde iletmemekle yükümlüdür. Bu yükümlülük, personelin Banaz Devlet Hastanesi ile ilişkisinin sona ermesi halinde de süresiz olarak devam eder.
  • Personel, görevi nedeniyle edindiği gizli bilgiler hakkında, yasal zorunluluklar ve kurum tarafından resmi olarak izin verilmesi halleri dışında, yazılı veya sözlü açıklama yapamaz.
  • Personel, görevi kapsamında erişim hakkının bulunduğu sistemleri ve bilgileri, yetkisi içinde ya da yetkisini aşarak kendisine veya bir başkasına çıkar sağlamak amacıyla kullanamaz.
  • Personel, bilgi sistemlerinde kullanılan/yer alan programları, verileri veya diğer unsurları hukuka aykırı olarak ele geçirme, değiştirme, silme girişiminde bulunamaz ve bunları nakledemez veya çoğaltamaz.
  • Personel, Banaz Devlet Hastanesinin bilgisi veya onayı dışında, proje ve faaliyetlerde kullanılan veriler ve sistemler üzerinde, görevin gerektirdiği iş ve işlemler dışında değişiklik yapamaz.
  • Personel, hangi amaçla olursa olsun görevi kapsamında Banaz Devlet Hastaneside edindiği bilgileri, proje ve faaliyetlerde kullanılan çeşitli şekillerde (basılı, dijital, manyetik vb.) bulunabilecek olan verileri yetkisiz ve izinsiz olarak kullanamaz, kopyalayamaz, taşıyamaz ve aktaramaz.
  • Personel, Banaz Devlet Hastanesi tarafından kendisine emanet edilen bilgisayar, tablet, telefon, taşınabilir medya gibi cihazları sadece göreve yönelik, kurumsal faaliyetler için kullanır. Bu cihazlarda kurumun bilgisi dışında hiçbir mekanik ya da yazılımsal yapılandırma değişikliği yapamaz.
  • Personel, Banaz Devlet Hastanesi tarafından kendisine verilen ya da tanımlanan kullanıcı adı/parolayı hiç kimseyle paylaşmaz. Parolasının gizli kalması için gereken tüm tedbirleri alır. Banaz Devlet Hastanesinden ayrılması halinde kullanıcı adı/parolayı iptal ettirir. Kullandığı bilgisayar ve/veya diğer veri depolama ortamlarına oluşturduğu veri, bilgi ve belgeler dâhil tüm belgeleri, cihazları ve ofis malzemelerini eksiksiz olarak ilgilisine teslim eder ve bunların hiçbir kopyasını alamaz.
  • Personel, Banaz Devlet Hastanesi sunucuları üzerinden kendisine tahsis edilen e-imza/mobil imza, kullanıcı adı/parola ve/veya IP/MAC adresini kullanarak gerçekleştirdiği her türlü etkinlikten, kurum bilişim kaynakları kullanılarak oluşturduğu ve/veya kendisine tahsis edilen kurum bilişim kaynağı üzerinde bulundurduğu her türlü içerikten (belge, doküman, yazılım vb.) sorumludur.
  • Personel, 5651 sayılı kanun gereği tutulması gereken kayıtlara ilave olarak; Banaz Devlet Hastanesi tarafından uygun görülen diğer sistemlerin, uygulamaların, kullanıcı işlemlerinin, bilgi sistem ağındaki verilerin ve veri akışının iz kayıtlarının hukuki ve idari süreçlere kaynak teşkil etmesi ve sistemlerin güvenli bir şekilde işletilmesi amacıyla tutulabileceğini peşinen kabul eder.
  • Banaz Devlet Hastanesi tarafından kişilere tahsis edilen e-posta hesabı sadece işle ilgili kurumsal faaliyetler için kullanılır. Personel, kendi hesabı kullanılarak gönderilen tüm e-postalardan kişisel olarak sorumludur.
  • Personel, sosyal medya hesaplarını kullanırken görevinin gerektirdiği dikkat ve özeni gösterir. Kuruma ait gizli kalması gereken bilgiler, sosyal medya ortamlarında paylaşılmaz.
  • Kişinin kendi kusuru nedeniyle parolasının ifşa olması durumunda, başkası tarafından yapılmış olsa dahi, personele teslim edilen kullanıcı adı ve parolalar ile yapılan iş ve işlemlerden, ilgili personel şahsen sorumludur.
  • İşbu sözleşme iki nüsha olarak imzalanır, bir nüshası Banaz Devlet Hastanesi Personel biriminde saklanır. Diğer nüshası ise personelin kendisine verilir.
  • Banaz Devlet Hastanesinde görev yapan Personel, çalışma süresi sona erdiğinde ya da kurumdan ilişiği herhangi bir gerekçeyle kesildiğinde,İşten Ayrılma Formunu doldurur ve ilgili birim sorumlusuna teslim eder.

 

 

15. BGYS’NİN İHLALİ VE YAPTIRIMLARI

BGYS kapsamında oluşturulmuş kural ve süreçleri ihlal eden personel, paydaş ve üçüncü taraflar hakkında adli ve idari yasal takibat başlatılarak; 657 sayılı Devlet Memurları Kanununun 125. Maddesi gereğince işlem yapılabilir ve /ve ya ilgili sözleşmelerde yer alan yaptırımların bir ya da birden fazla hükmü uygulanabilir. Yukarıda sayılan kurallardan biri ya da birkaçının ihlâlinin tespit edilmesi halinde, güvenlik ihlâline yol açan personel hakkında işlem başlatılır.

  • Yapılan ihlalin ilgili kanunlar gereği suç ve ceza öngören bir fiil olması halinde, ilgili personel hakkında suç duyurusunda bulunulur.
  • Ayrıca idari bir tedbir olarak, yapılan ihlalin önceki maddesinde belirtildiği şekilde suç olup olmadığına bakılmaksızın, Banaz Devlet Hastanesi tarafından ihtiyaç duyulması halinde; 657 Sayılı Devlet Memurları Kanununa tabi olanlar için aynı kanunun 125 maddesinde sayılan hükümlere göre, 657 Sayılı Devlet Memurları Kanununun dışında kalan çalışanlar ile ilgili olarak (danışmanlar, firma personeli vb.) sözleşmelerinde belirtilen özel hükümlere göre, yoksa genel hükümlere göre idari işlem tesis edilir. Bahsi geçen cezai işlemlerden bazıları aşağıdaki gibidir:

    Uyarma

    Kınama

    Aylıktan kesme

    Kademe ilerlemesinin durdurulması

    Para cezası

    Sözleşmenin feshi

  • Kişisel veriler ile gizli bilgilerin hukuka aykırı olarak üçüncü kişilere aktarılması ve/veya onların erişimine açılması ya da kullanımına sunulması hâlinde;
  • Cezaî bakımdan 5237 sayılı Türk Ceza Kanunu’nun madde 135 vd. hükümlerine,
  • İdarî bakımdan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci madde hükmüne,
  • Hukukî bakımdan 4721 sayılı Türk Medeni Kanunu’nun madde 23 vd. hükümlerine,
  • Sözleşme hukuku kapsamında muhtelif konulara ilişkin süreçler bakımından 6098 sayılı Türk Borçlar Kanunu’nun madde 112 vd. hükümlerine göre, söz konusu hükümlerin ilgili durum bakımından yasal uygulama alanlarının bulunduğu ölçüde, yetkili merci ve kişilerce işlem tesis edilir.

16. BGYS’NİN YÜRÜRLÜĞE GİRİŞİ

BGYS protokolü Banaz Devlet Hastanesi Başhekimince onaylanmasının ardından yürürlüğe girer ve tüm Banaz Devlet Hastanesi personelince uyulması gereklidir.

17. BGYS’NİN DUYURULMASI

BGYS protokolünün yürürlüğe girmesinin ardından tüm birimlere tebliğ edilir. Planının tüm personelce okunup okunmadığı ayrı ayrı her bir birimin amiri sorumluluğundadır.

18. BGYS GÖZDEN GEÇİRME KURALLARI

BGYS, Bilgi Güvenliği Sorumluları tarafından periyodik olarak altı ayda bir kez, üst yönetim tarafından ise yılda bir kez gözden geçirilir. Yönetmeliklerde veya bilgi güvenliği uygulama süreçlerindeki değişiklikler planının gözden geçirilmesini gerektirir. Gözden geçirilen ve güncellenen protokol Kurum Yönetimi tarafından onaylanır. Onaylanan protokol Kurum internet sitesi ve çeşitli duyuru kanallarında yayımlanır.

19.TAŞINABİLİR ORTAM YÖNETİMİ

Amaç, Banaz Devlet Hastanesi malzemelerinde meydana gelebilecek kaybolma, kolayca çoğaltma vb. nedenlerden dolayı özellikle elektronik medya (CD/DVD, USB girişli hafif taşınabilir bellekler, taşınabilir diskler, hafıza kartları, teyp kartuşlarıvb.)vebasılıevraklar(yazılar,dosyaklasörleri,etüdler,çizimler,krokiler,projeevrakları vb.) olmak üzere taşınabilir ortamlarda saklanan her türlü bilginin korunması ve yetkisiz kişilerin eline geçmemesi için özel önlemler alınmasınısağlamaktır.

  • Elektronik medya kullanımı ile ilgili olarak aşağıdaki hususlar göz önünde bulundurulur.
  • Kuruma ait veriler, kişilere ait medyalar üzerinde saklanamaz. Verilerin bir taşınabilir ortama aktarılması ihtiyacı kaçınılmaz ise bu maksatla kuruma ait medyalar kullanılır.
  • Kuruma ait medyalar varlık envanteri içinde listelenir ve kimler tarafından kullanıldığı kayıt altına alınır. Görev devir teslimlerinde veya işten ayrılışlarda, kişilere teslim edilmiş olan medyaların iade edilmesi istenir veya ne şekilde sarf edildiği bilgisi sorgulanır.
  • Özellikle eski SBYS verileri ve SBYS yedeklerinin saklandığı medya ortamlarının mutlak surette envanter listesi oluşturulur, 6 (altı) aydan az olmayacak şekilde belirlenecek sürelerde sayım işlemleri yapılır ve sayım sonuçları kayıt altına alınır.
  • ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL veriler, taşınabilir ortamda saklanamaz. Özellikle bu tür ortamlarda saklama zorunluluğu var ise Sabit Ortamdaki Verilerin Şifrelenmesi standardına uygun şekilde şifreli olarak saklanır.
  • Bir bilgi sadece taşınabilir medya ortamında saklanıyorsa, bozulma/kaybolma gibi ihtimallere karşı bir başka medya ortamında da yedeklenmesi tavsiye edilir. Veriler çok kıymetli ise yedeklenen medya ortamı, doğal afet vb. tehditlere karşı önlem olmak üzere fiziksel olarak farklı bir yerde muhafaza edilir.
  • Yeni medya teknolojilerinin ortaya çıkması nedeniyle üç yıldan uzun süredir eski teknolojilerin kullanıldığı bir medya ortamında saklanan verilerin daha yeni bir medya ortamına taşınması tavsiye edilir.
  • Gizlilik derecesi taşıyan kurumsal verilerin saklandığı medya ortamları, kişisel (şahsın kendisine ait) bilgisayarlarda kullanılamaz. Bu tip veriler kişisel bilgisayarlarda işlenemez.
  • Tüm ortamlar üretici talimatında belirtildiği şekilde toz, nem vb. çevresel şartlardan etkilenmeyecek şekilde güvenli bir ortamda saklanır.
  • Taşınabilir ortamda yer alan verilerin bütünlüğünün sağlanması (değişmediğinin garanti altına alınması) için özetleme (hash) algoritması kullanılmak suretiyle verilerin bir özeti (parmak izi) alınır. Alınan özet, kullanılan algoritma ve anahtar ile birlikte bir tutanak ile kayıt altına alınır ve taşınabilir ortam ile birlikte muhafaza edilir. İhtiyaç duyulan durumlarda verinin tekrar özeti alınarak herhangi bir değişiklik olup olmadığı kontrol edilir.
  • Elektronik medya da dâhil tüm taşınabilir ortamlar, kullanılmadığı zamanlarda içinde bulunan verilerin gizlilik derecesi dikkate alınarak fiziki güvenlik tedbirleri alınmış kasa, dolap, çekmece gibi ortamlarda saklanır.
  • Taşınabilir ortamların bir yerden başka yere taşınması esnasında yetkisiz erişim, kötüye kullanım ve bozulmaya karşı gerekli önlemler alınır. Bu çerçevede;
  • Güvenilir kargo/taşıma şirketleri ya da kuryeler kullanılır,
  • Yönetim tarafından yetkili kurye listeleri oluşturulur.
  • Paketleme ve taşıma sırasında ortaya çıkabilecek herhangi bir fiziksel hasardan korumak için üreticinin belirlediği teknik özelliklere uygun önlemler (ısı, nem ya da elektromanyetik alanlara maruz kalma gibi çevresel faktörlere karşı koruma vb.) alınır.
  • Ortamın içeriğini tanımlayan kayıtlar ile birlikte kaç kez transfer edildiği, transfer sorumluları ve alıcı tarafından alındığının kayıtları tutulur.
  • Bu politikanın ihlali durumunda, Bilgi Güvenliği Komisyonu ve ilgili yöneticinin onaylarıyla Bilgi Güvenliği Disiplin Prosedürü dokümanında belirtilen hususlar ve ilgili maddeleri esas alınarak işlem yapılır.

20.TAŞINABİLİR ORTAMIN YOK EDİLMESİ

Amaç, Banaz Devlet Hastanesine ait ekonomik ömrünü tamamlamış olan veya tamamlamadığı halde teknik veya fiziki nedenlerle kullanılmasında yarar görülmeyerek hizmet dışı bırakılmasına karar verilen bilgi sistem cihazları ile ilgili kayıt silme işlemleri 2006/11545 sayılı Taşınır Mal Yönetmeliğinde belirtilen usul ve esaslar çerçevesince, ilgili birimler ve komisyonlar tarafından gerçekleştirilmesini sağlamaktır.

  • Kaydı silinen bilgisayarların sabit diskleri, ilgili teknik birimlerden destek alınmak suretiyle sökülür.
  • Sökülen sabit disklerden daha önce ilgili teknik birimler tarafından “onarımı mümkün değil” şeklinde rapor verilenler ile sağlam olmakla birlikte “yeniden kullanımı düşünülmeyen” cihazlar aşağıda belirtilen yöntemlerden biri ya da birkaçı birlikte kullanılmak suretiyle imha edilir.
  • De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
  • Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.
  • Disk veya taşınırı imhası için imha edilecek disklere ait Kayıttan Düşme Teklif ve Onay Tutanağı ve Diskin ve taşınırın İmha Formunun resmi yazı ile Banaz Devlet Hastanesi ilgili birimine gönderilmesi gerekir.
  • Disk veya taşınırın imha işlemleri, bizzat disklerin sahipleri veya taşınır mal sorumlularının nezaretinde yapılır.
  • Bilgisayarların sabit diskleri dışında hassas veri bulundurma ihtimali olan diğer depolama ortamları, ortam türüne bağlı olarak aşağıda yer alan yöntemlerden biri kullanılarak yok edilir.
  • cihazları (anahtarlama cihazı, yönlendirici vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Prosedürün 3.2 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanarak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemi ile ya da Ortamın Yok Edilmesi standardına uygun yöntemlerden bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
  • Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
  • Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta ancak çoğunda yok etme komutu bulunmamaktadır. Prosedürün 3.2 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
  • Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre Prosedürün 3.2 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır Prosedürün 3.2 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir
  • Kâğıt ve mikrofis ortamlarındaki veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.
  • Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre Prosedürün  (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir
  • Yeniden kullanılması planlanan disklere, içlerinde yer alan bilgilerin yetkisiz kişilerin eline geçmesini engellemek maksadıyla ‘güvenli sil’ (üzerine yazma) işlemi yapılır.
  • Güvenli silme işlemi, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu iş için uygun bir yazılım (DBAN, Kill Disk, Eraser, Disk Wipe, HDShredder gibi) veya donanım kullanılır.
  • Bulut ortamındaki sistemlerde yer alan hassas verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılamaz hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir
  • Arızalanan ya da bakıma gönderilen cihazlarda yer alan hassas verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
  • İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan verilerin Prosedürün 3.2 (Ortamın Yok Edilmesi) maddesinde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
  • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, hassas verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.
  • Elektronik Belge Yönetim Sistemi’ne geçiş tarihi olan 15.08.2015 tarihinden önceki tarihli evraklar, EBYS’ye dahil edilemeyen fiziksel evraklar ile tanımlanacak istisna durumlar neticesinde EBYS’ye dahil edilmeyen evraklar arşivde saklanır
  • Elektronik Belge Yönetim Sistemi ile Banaz Devlet Hastanesi Arşiv Biriminde saklanan evrakların yasal bekleme süreleri sonunda tasfiyeleri sağlanmalıdır.
  • Özel ve Çok Gizli evrakların imhası “Devlet Arşiv Hizmetleri Yönetmeliği” hükümleri gereği oluşturulan “Evrak İmha Komisyonu” ile karar altına alınmalı ve imha edilecek evrakların kırpma veya yakma işlemlerinden geçirilerek imhaları yapılmalıdır. İmha edilemeyecek evrakların tanımlanması işlemi yapılarak bu tanıma giren belgelerin geri dönüşüme devirleri yapılmalıdır.
  • Banaz Devlet Hastanesi bünyesinde kullanılmakta iken değişik sebeplerle kullanımına son verilen Bilgi Teknolojileri’nin (Bilgisayar, laptop, sunucu, harici harddisk, flash disk vb. data içeren tüm disk storage medyaları ve veritabanı dataları) imha edilmesi sırasında 14 Mart 2005 Tarihli 25755 sayılı Resmi Gazete ’de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine uygun hareket edilmelidir.
  • Son ürünlerin gruplar halinde fotoğrafı çekilerek ilgili Birimlere\Kurumlara iletilmesi sağlanmalıdır.
  • Bu politikanın ihlali durumunda, Bilgi Güvenliği Komisyonu ve ilgili yöneticinin onaylarıyla Bilgi Güvenliği Disiplin Prosedürü dokümanında belirtilen hususlar ve ilgili maddeleri esas alınarak işlem yapılır

21.İHLÂL OLAYI BİLDİRİMİ VE YÖNETİMİ

Amaç, T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi kapsamı dâhilinde, bilgi ve bilgi sistemlerini etkileyen güvenlik olaylarının tanımlanması, olayların nasıl ele alındığı ve / veya alınması gerektiğini,ihlalolaylarınınsorumlularınınbelirlenmesi,olaylarınraporlanmasıveişlenmesiiçinrehberlik sağlamaktır. Tüm çalışanlar tarafından bilgi güvenliği ihlal olaylarının rapor edilmesi; güvenlik ihlallerinin sonuçlarının hafifletilmesi ve gelecekteki güvenlik ihlallerinin azaltılması için önemli roloynamaktadır.

Bilgi Güvenliği İhlalOlayı

Kurumun bilgilerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini herhangi bir biçimde etkileme potansiyeline sahip herhangi bir olaydır. Banaz Devlet Hastanesi aşağıdaki hususlardan kaynaklanacak ihlaller Bilgi Güvenliği İhlali Olarak kabul edilmiştir.

  • Kullanılan bilgi varlıklarının çalınması, kaybolması ya da kırılması
  • Bilginin Gizlilik, Bütünlük, Erişilebilirlik beklentilerindeki ihlaller
  • İnsan hatalarından kaynaklanan ihlaller
  • Genel Müdürlük ve Bakanlık tarafından yayımlanmış Bilgi Güvenliği Yönergesi, Politikalar ve Prosedürlere göre iş ve işlemlerin yürütülmemesi
  • Fiziksel Güvenlik düzenlemelerinin ihlali
  • Kontrolsüz sistem değişiklikleri
  • Yazılım ya da donanım arızaları
  • Erişim ihlalleri (yetkisiz erişim), yetkisiz bilgi kullanımına izin veren uygun olmayan erişim denetimleri
  • Siber saldırılar (Virüs, izinsiz giriş, Truva atı, casus yazılım vb. bulgular için, sistem sunucu servis problemleri için)
  • Gizli bilginin yetkisiz kişilerce ifşa edilmesi
  • T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi güvenlik olaylarının belirlenmesi, raporlanması ve kayıt altına alınmasına ilişkin süreçleri ayrıntılarıyla açıklayan net bir olay raporlama mekanizması bulunmaktadır. Tüm çalışanlar, ihlal olaylarının ele alınması için gerekli tespit, raporlama ve eylemin önemi hakkında BGYS Birimi tarafından sürekli olarak bilgilendirilir.

Ele alınan Olay türleri şunları içerir, ancak bunlarla sınırlı değildir:

  • Servis Dışı Bırakma (DDOS)

    Çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.

  • Bilgi Sızdırma (Data Leakage)

    Kurumun bilişim teknolojileri ile kullandığı, işlediği ya da ürettiği verilerin bilinçli ya da bilinçsiz bir şekilde kurum dışına taşınarak, belirlenmiş “bilgi güvenliği” politikalarının ihlali.

  • Zararlı Yazılım (Malware)

    Bilgisayar sistemlerine zarar vermek, bilgi çalmak veya kullanıcıları rahatsız etmek gibi amaçlarla hazırlanmış yazılımlara genel olarak verilen ad.

  • Dolandırıcılık (Fraud)

    Aldatma amacı ile yapılan kasıtlı eylemdir.

  • Port Tarama

    Sunucu üzerinde çalışan servislerin hizmet verdiği mantıksal bağlantı noktalarını ve durumlarını tespit etmek için yapılan işlemdir.

  • Veri Tabanı Saldırısı

    Veri tabanı yazılımlarının kullanımından oluşabilecek zafiyetlerinden veri tabanının ele geçirilmesi, yönetilmesi ya da yetki yükseltilmesi şeklindeki saldırılardır.

  • Web Uygulamaları Güvenlik İhlalleri

    ARPsızdırma,işlevselliğinkötüyekullanımı,içeriğesızma,DNSçalınmasıvb.metotlarileweb sitesinin güvenliğinin tehdit edilmesi veya sağlanamamasıdurumlarıdır.

  • Sosyal Mühendislik

    İnternette insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir.

  • Veri kaybı / ifşası

    Gizli bilgilerin e-posta aracılığı ile iletimi, ağ üzerinden iletilen bilgilerin yetkisiz ya da yanlış alıcıya iletimi, internet üzerinden güvenli olmayan kanallar aracılığıyla veri iletimi, ortak kullanım yazıcılarından alınan çıktıların sahiplenilmemesi ya da güvenliğine önem verilmemesi, masa üstü ya da ortak alanlarda basılı kopyaların denetimsiz bırakılması vb. durumlarda tüm çalışanlar verilerin güvenliğini ve bütünlüğünü korumanın önemini göz önünde bulundurarak bilinçli hareket etmeli, ihlal durumlarını rapor etmesi gerekir.

  • Zararlı Elektronik Posta (Spam)

    İsteğiniz olmadan, size gönderilen ticari içerikli oyada politik bir görüşün propagandasını yapmakyadabirkonuhakkındakamuoyuoluşturmakamacıilegönderilene-postailetileridir.

  • Parola ele geçirme

    Depolanmaması gereken bir yerde depolanan parolaların tespiti ya da sızması durumudur. Ya da herhangi bir saldırı yöntemi ile parolaların ele geçirilmesidir.

  • Taşınır Cihaz Kaybı

    CD / DVD, DAT (manyetik ses bandı), veri depolamak için USB taşınabilir veri depolama / HD sürücüler gibi taşınabilir ortamların kullanılması, kullanıcının bu tür cihazları kullanma sorumluluklarının tamamen farkında olmasını gerektirir. PC'lerin, dizüstü bilgisayarların, tabletlerin ve diğer taşınabilir aygıtların kullanılması, verilerin izinsiz erişime açık hale gelmesine neden olabilir. Kasıtlı ya da kazayla, herhangi bir taşınabilir aygıtın yetkili kullanıcısı (taşınabilir medya dahil) dışında kullanımı, kaybı veya bulunması durumunda İhlal Olay Raporlama prosedürleri aracılığıyla BGYS Birimine bildirilir.

  • Kimlik taklidi

    Kişilerin fiziksel, telefon ya da dijital ortamda olmadığı bir kişi gibi davranıp, onun yetkilerini bilgisi dışında kullanmasıdır.

  • Oltalama

    Dolandırıcıların kullanıcı hesaplarına rastgele e-posta göndererek bilgi sızdırmaya yönelik çevrimiçi saldırı türüdür.

  • Kişisel bilgilerin kötüye kullanımı

    Tüm kişisel nitelikteki bilgileri görüntülemek, ifşa etmek veya dağıtmak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Dış Kaynaklı Doküman Listesi ) usul ve esaslarına aykırıdır. Herhangi kasıtlı ya da hata ile oluşacak kişisel bilgilerin kötüye kullanımı durumların raporlanması zorunludur.

  • Diğer ihlal olayları

Yukarıda tanımlanan ihlal olaylarının dışında bilgi güvenliğini tehdit eden diğer ihlallerdir.

  • İhlal bildirimleri, Olay Bildirim Formu ile gerçekleştirilir.
  • BGYS Birim sorumlusu bildirimin bilgi güvenliği ihlal olayı olup olmadığını tespit eder, analizini yapar ve yayılmasını önlemek için alınması gereken acil eylem gerekli ise süreci başlatır. Olayın ciddiyeti değerlendirilip yasal işlem öngörülmekte ise, ilgili hukuki ya da güvenlik otoriteleri sürece dâhil edilir.
  • İhlal olayının çözümü için kullanılacak bildirim yöntemi e-posta ya da telefondur.
  • BGYS Birimi tarafından yapılan değerlendirme sonucunda ihlal olayının çözümü için ilgili sorumlu tarafa (Birimin bağlı olduğu Daire Başkanına ve üst yönetime) ivedi bir şekilde iletişime geçerek olayın çözümü için harekete geçilir.
  • Bildirilen ihlal olayının çözümü için atılan adımlar her bir ihlal olay kaydı için ayrı ayrı yazılarak olay kapatılır.
  • Bildirilen ihlal olayları çerçevesinde yapılan bildirimler sonucu çözümleri, her hangi bir maliyet gerektiriyor ise sorumluluk ihlalin çözümünü üretecek birime aittir. BGYS Birimi sadece olayı ilgili taraflara bildirmek suretiyle çözülmesini sağlayacaktır.
  • Bilgi Güvenliği ihlal olayları, BGYS Birimi tarafından kaydedilerek, gerekli ise Düzeltici Faaliyet planlanır ve /veya farkındalık e-postaları gönderilir. Ayrıca, yılda bir kez yapılan BGYS farkındalık eğitimleri için olay kayıtları girdi oluşturur.
  • Kurumsal Bilişim sistemlerinin güvenliğinde herhangi bir aksamaya mahal verilmemesi için genel sistem seviyesinde alınmış olan güvenlik tedbirleri yanında çalışanlarımızın da bu hususta titizlikle uyması gereken bu kurallara bütün kurum çalışanları uymak zorundadır.

22.İNTERNET VE E- POSTA KULLANIM GÜVENLİĞİ

T.C. Sağlık Bakanlığı Banaz Devlet Hastanesi “@saglik.gov.tr” uzantılı e-posta mesajlarında alma, gönderme, yönlendirme ve otomatik gönderme kurallarına genel kuralları tanımlamaktır.

  • Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
  • Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  • Kişisel kullanım için Internet'teki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır.
  • Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmemelidir.
  • Kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
  • Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.
  • Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.
  • Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır.
  • Kurum çalışanların kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görünmesi ve okunmasını engellemekten sorumludurlar.
  • Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Çünkü bu ekler virüs, e-mail bombaları ve truva atı gibi zararlı kodlar içerebilirler.
  • Kurum dışından güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır. Elektronik postalar sık sık gözden geçirilmeli, gelen mesajlar uzun süreli olarak genel elektronik posta sunucusunda bırakılmamalı ve bilgisayardaki bir kişisel klasöre çekilmelidir.
  • Banaz Devlet Hastanesi çalışanları gönderdikleri, aldıkları veya sakladıkları e-maillerde kişisellik aramamalıdır.
  • Yasadışı ve hakaret edici e-posta haberleşmesi yapılması durumunda yetkili kişiler önceden haber vermeksizin e-mail mesajlarını denetleyebilir ve kullanıcı hakkında yasal ve idari işlemler başlatabilir.
  • Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler.
  • Altı ay süre ile kullanılmayan e-posta kutuları Sağlık Bilgi Sistemleri Şubesi Bilgi İşlem Birimi tarafından kaldırılabilir. Kurumdan ayrılan personel kurumsal e-posta sistemini kullanamaz. E-posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirme, emekli olma, işten ayrılma sebepleriyle kurumdaki değişikliğini yetkililer tarafından Sağlık Bilgi Sistemleri Şubesi Bilgi İşlem Birimine en kısa zamanda bildirilmesi gerekmektedir.
  • Banaz Devlet Hastanesinde hizmet veren ve Banaz Devlet Hastanesi fiziki alanlarında çalışan tüm personel (memur, danışman ve firma) için kurumsal e-posta (@saglik.gov.tr) hesabı tahsis edilir ve tüm iş amaçlı e-postaların kurumsal e-posta hesabı ile gerçekleştirilmesi zorunludur.
  • Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz.
  • İş dışı konulardaki haber grupları kurumsal e-posta adres defterine eklenemez.
  • Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara Spam (istenmeyen e-posta), Phishing (kimlik avı) mesajlar göndermek için kullanılamaz.
  • Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.
  • İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta hesabı kullanılamaz. Ancak iş gereği üye olunması yararlı İnternet haber grupları için yöneticisinin onayı alınarak kurumun sağladığı resmi e-posta adresi kullanılabilir.
  • Hiçbir kullanıcı, gönderdiği e-posta adresinin Kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.
  • Personel konu alanı boş bir e-posta mesajı göndermemelidir.
  • Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
  • E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip ve/ya rar formatında) mesaja eklenecektir.
  • Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
  • Kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajlar gönderilemez. Bu tür özelliklere sahip bir mesaj alındığında Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
  • Kullanıcı hesapları, doğrudan ya da dolaylı, ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-posta gönderilmesi yasaktır.
  • Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-posta alındığında, e- posta başka kullanıcılara iletilmeden Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
  • Zararlı e-posta, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmemelidir.
  • Kullanıcı hiçbir suretle kurumsal e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) gönderemez.
  • Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur.
  • Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir.
  • Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber vermelidir.
  • Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir.
  • Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
  • Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının çalındığını fark ettiği anda Kullanıcı Hesapları ve e- Posta Yönetimi Birimine haber vermelidir.

 

23. SOSYAL MÜHENDİSLİK ZAFİYETLERİ VE SOSYAL MEDYA GÜVENLİĞİ

Banaz Devlet Hastanesi bünyesinde Sosyal Mühendislik Zafiyetleri ve Sosyal Medya Güvenliği konularının nasıl yönetileceğinibelirler.

 Sosyal Mühendislik Zafiyetleri

Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanmaktadır. Başka bir tanım ise; İnsanoğlunun zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar.

1.Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunmalıdır.

2.Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir.

3.Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edilmelidir.

4.Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgileriniz paylaşılmamalıdır.

5.Şifre kişiye özel bilgidir. Sistem yöneticiniz dahil telefonda veya e-posta ile şifrenizi paylaşmamalısınız. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapabilmelidir.

6.Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir.

7.Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır.

8.Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır.

9.Kaza, emule gibi dosya paylaşım yazılımları kullanılmamalıdır.

10.Sadece yetkili kişilerin kurum içersindeki sınırlı bölümlere erişim izni olduğundan emin olmak için uygun erişim kontrol mekanizmaları olması gerekir.

11.İnternette kurum ile ilgili paylaşılan bilgilere son derece dikkat edilmeli ve bu sürekli izlenmelidir.

12.’Bilmesi Gerektiği Kadar’ prensibine göre hareket edilmelidir.

Sosyal Medya Güvenliği:

1.Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır.

2.Kurum içi bilgiler sosyal medyada paylaşılmamalıdır.

3.Kuruma ait hiçbir gizli bilgi, yazı, sosyal medyada paylaşılmamalıdır.

24. PAROLA GÜVENLİĞİ

Amaç, personelin tüm bilgi sistemleri uygulamalarında ve kurumsal e-posta hesaplarında kullanılacak olan parolaların üretilmesi, korunması, kullanılması ve değiştirilme sıklığı hakkında kurumsal bir standart oluşturmaktır.

Parola Yönetimi veKullanımı

  • Kullanıcı hesaplarına ait parolalar (örnek: e-posta, web, masaüstü bilgisayar vs.) en geç 6 (altı) ayda bir değiştirilmelidir.
  • Sistem yöneticileri, kendi yönetimindeki sistem ve kendi kullanıcı hesapları için farklı parolalar kullanmalıdır.
  • Parolaların e-posta iletilerine veya herhangi bir elektronik forma eklenmesi yasaktır.
  • Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda BGYS Birimi tarafından yapılan farkındalık eğitimleri ve farkındalık e-postaları ile düzenli aralıklarla bilgilendirilir.
  • Kurum çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu yönergenin ilgili maddelerinde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.
  • Bütün parolalar Banaz Devlet Hastanesi ait gizli bilgi niteliğindedir. Paylaşılamaz, kâğıtlara ya da elektronik ortamlara yazılamaz.
  • Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup, kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir.
  • Parola kırma ve tahmin etme operasyonları belli aralıklar ile güvenlik tatbikatlarında gerçekleştirilir. Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını değiştirmesi talep edilir.
  • En az 8(sekiz) karakterli olmalıdır. İçerisinde en az 1(bir) tane büyük ve en az 1(bir) tane küçük harf bulunmalıdır. İçerisinde en az 1(bir) tane rakam bulunmalıdır. İçerisinde en az 1(bir) tane özel karakter bulunmalıdır. (@, !,?,A,+,$,#,&,/,{,*,-,],=,...) Aynı karakterler peş peşe kullanılmamalıdır. (aaa, 111, XXX, ababab...). Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...). Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır. Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, qwerty, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi). Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır.

Bu politikanın ihlali durumunda, Bilgi Güvenliği Komisyonu ve ilgili yöneticinin onaylarıyla BİLGİ GÜVENLİĞİ PAROLA YÖNETİMİ POLİTİKASI dokümanında belirtilen hususlar ve ilgili maddeleri esas alınarak işlem yapılır.

25. İNTERNET VE AĞ KULLANIM-ERİŞİM PLANI

  • Hiçbir kullanıcı peertopeer bağlantı yoluyla internetteki servisleri kullanmayacaktır, (örneğin: KaZaA, iMesh, eDonkey, Gnutella, Napster, Aimster, Madstcr, FastTrak, Audiogalaxy, MFTP, eMule, Ovemet, NeoModus, Direct Connect, Asquisition, BearShare, Gnucleus, GTK-Gnutella, LimeWire, Mactella, Morpheus, Phex, Qtella, Shareaza, XoLoX, OpenNap, WinMX. vb)
  • Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir.
  • Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde ICQ, MIRC, Messenger vb. mesajlaşma ve sohbet (chat) programları kullanılmamalıdır. Bu sohbet programları üzerinden dosya alışverişinde bulunulmamalıdır.
  • Hiçbir kullanıcı internet üzerinden Multimedia Streaming (video, mp3 yayını ve iletişimi) yapmayacaktır.
  • Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinmek yasaktır.
  • İş ile ilgili olmayan (Müzik, video dosyaları) yüksek hacimli dosyalar göndermek (upload) ve indirmek (download) yasaktır.
  • İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez (Ultrasurf vb. gibi ) ve kurum sistemleri üzerine bu yazılımlar kurulamaz.
  • Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır.
  • Üçüncü şahısların kurum içerisinden interneti kullanımları Banaz Devlet Hastanesi Bilgi İşlem Birim Sorumlusunun izni ve bu konudaki kurallar dâhilinde gerçekleştirilebilecektir.
  • Bilgisayar işletim sistemlerine zarar verdiği için internet üzerinden ekran koruyucu, yamalar, masaüstü resimleri, yardımcı, tamir edici program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmesi ve/veya kurulması yasaktır.
  • Banaz Devlet Hastanesi Bilgi İşlem Birimi, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir.
  • Erişim Cihazları (Access Point) ve bilgisayarlara bağlanan bütün erişim cihazlarının ve alt arabirim kartlarının (örnek, PC Card) Bilgi İşlem birimi tarafından kayıt altına alınması gerekmektedir. Erişim cihazları periyodik olarak güvenlik testlerinden geçirilmelidir.
  • Bilgisayar başından uzun süreli uzak kalınması durumunda bilgisayar kilitlenmeli ve 3.şahısların bilgilere erişimi engellenmelidir.
  • Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. İşletim sistemi şifreleri aktif hale getirilmelidir.
  • Kurumda domain (çalışma alanı) yapısı varsa mutlaka login (oturum açılmalıdır) olunmalıdır. Bu durumda, domain' e bağlı olmayan bilgisayarlar yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
  • Laptop bilgisayarının çalınması/kaybolması durumunda en kısa sürede Sağlık Bilgi Sistemleri Şubesi Bilgi İşlem Birimine haber verilmelidir.
  • Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek, kuruma veya kişiye yönelik saldırılardan (örneğin; hakaret-siyaset içerikli mail, kullanıcı bilgileri vs.) sistemin sahibi sorumludur,
  • Kurumun bilgisayarları kullanılarak taciz veya yasadışı olaylara karışılmamalıdır.
  • Ağ güvenliğini (Örneğin; bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ trafiğini bozacak (packet sniffing, packet spoofing, denial of service vb.) eylemlere girişilmemelidir.
  • Ağ güvenliğini tehdit edici faaliyetlerde bulunulma. DOS saldırısı, port-network taraması vb. yapılmamalıdır.
  • Kurum bilgileri kurum dışından üçüncü kişilere iletilmemelidir.
  • Cihazlar, yazılımlar ve veriler izinsiz olarak kurum dışına çıkarılmamalıdır.
  • Port veya ağ taraması yapılmamalıdır.
  •  Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
  • Kullanıcıların kişisel bilgisayarlan üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
  • Kurumun kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programlar (Dergi CD'leri veya internetten indirilen programlar vs.) kurulmamalı ve kullanılmamalıdır.
  • Kurumsal veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler. Kurumumuzun bu konudaki ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kâğıt ortamında üçüncü kişi ve kurumlara verilemez.
  • Personel, kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin güvenliği ile sorumludur.
  • Bilgi İşlem Birimi tarafından yetkili kişiler kullanıcıya haber vermek kaydı ile yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel bağlanılan bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez.
  • Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı/kopyalanmamalıdır.
  • Bilgisayarlar üzerinde resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulmamalıdır.
  • Kurumda Bilgi İşlem Biriminin bilgisi olmadan Ağ Sisteminde (Web Hosting, E-posta Servisi vb) sunucu niteliğinde bilgisayar ve cihaz bulundurulmamalıdır.
  • Birimlerde sorumlu Bilgi İşlem personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarlarının, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.
  • Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisansız yazılımı bilgisayarında barından personel ilgili mevzuat çerçevesinde kendisi sorumludur.
  • Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.
  • Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle Bilgi İşlem Birimine haber verilmelidir.

26. YEDEKLEME YÖNETİMİ

Amaç Bu politikanın amacı Banaz Devlet Hastanesi için yedekleme standartlarını belirlemek için oluşturulmuştur.

Yedekleme Yapan Sistem YöneticilerininSorumlulukları

Kurumbünyesindekibelirlenenbütünyedeklemeişlemlerinden,yetkilendirilmişsistemyöneticileriveBirim yetkililerisorumludur.

BirimyedeklemeleriaşağıdakişekildeyapılacaktırveHBYSyedeğininbirkopyasıhergünhastanebaşhekimine teslimedilecektir.

Bilgisistemlerindeoluşabilecekhatalarkarşısındasistemlerinkesintisüreleriniveolasıbilgikayıplarınıenaz düzeye indirmek için sistem ve kurumsal verilerin düzenli olarak yedeklenmesi yedekleme tutanağı ile sağlanacaktır.

Sistemyöneticileridahilindeyedeğininalınmasıgerekentümverilerveyedeklemekonusundayetkiliçalışanlar da bu politikanın kapsamında yeralmaktadır.

Bilgisistemlerindeoluşabilecekbeklenmedikdurumlarkarşısında,sistemlerinkesintisüreleriniveolasıveri kayıplarınıenazdüzeyeindirmekiçinsistembilgilerininvekurumsalverilerindüzenliolarakyedeklenmelidir.

Verininoperasyonelortamdaonlineolarakaynıdisksistemindefarklıdiskvolümlerindeveofflineolarakda BACKUPServerveHariciDiskortamlarındayedeklerialınacaktır.

SonVerilerofflineortamlardasınırsızsüreylesaklanmalıdır.

Yedekleme, bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu konuyla ilgili net sorumluluklartanımlanmalıdır.

Kritikverilerinvarlıkenvanteriçıkartılmalıveyedeklemeihtiyacıbakımındansınıflandırılarakdokümante edilmelidir.

Oluşturulacakvarlıkenvanterinde,hangisistemlerdenetüruygulamalarınçalıştığı,yedeğialınacakdizinve dosyalar,yetkilipersonelveyetkiseviyeleriyeralmalıdır.

Yedeklerialınacaksistem,dosyaveverilerdikkatlebelirlenmeliveyedeğialınacaksistemleribelirleyenbir yedekleme listesioluşturulmalıdır.

Yedeküniteleriüzerindegereksizyerişgaledilmemesiiçinkritiklikdüzeyidüşükolanvesüreklibüyüyenlog dosyaları yedekleme listesine dahiledilmemelidir.

Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme listesi periyodik olarak gözden geçirilmeli ve güncellenmelidir.

Yenisistemveuygulamalardevreyealındığındayedeklemelistelerigüncellenmelidir.

Yedekleme işlemi için yeterli sayı ve kapasitede yedekleme medyaları temin edilmelidir. Yedeklemekapasitesi artışgereksinimiperiyodikolarakgözdengeçirilmelidir.

Yedeklememedyalarıacildurumlardakullanılmasıgerekebileceğindengüvenilirürünlerdenseçilmesivedüzenli periyotlarda test edilmesigerekmektedir.

Geriyüklemeprosedürlerinindüzenliolarakkontroledilmesivetestedilereketkinliklerinindoğrulanmasıve operasyonel prosedürlerin öngördüğü süreler dahilinde tamamlanabileceğinden emin olunmasıgerekmektedir.

Yedekleme medyalarının bulundurulduğu ortamların fiziksel uygunluğu ve güvenliği sağlanmalı ve bilgi işlem odalarından faklı odalarda veya binalardasaklanmalıdır.

Yedeklememedyalarıherhangibirfelaketanındaetkilenmeyecekbirortamdabulundurulmasıgerekmektedir.

VeriYedeklemeStandardı;yedeklemesıklığı,kapsamı,güniçindenezamanyapılacağı,nekoşullardavehangi aşamalarlayedeklerinyükleneceğiveyüklemesırasındasorunlarçıkarsanasılgeridönüleceği,yedekleme ortamlarının ne şekilde işaretleneceği, yedekleme testlerinin ne şekilde yapılacağı yedekleme tutanağında tutulacaktır.

Yedekleme"tamyedekleme"tipindeherpazargünüsaat00:01debaşlar.Diğergünlerdeisesaat12:00,saat 17:30ve00:00daartımlıyedeklemeyapılır.HBYSyedeğininbaşlatılmasıilgilifirmanıngörevidir.Firmanın başlattığıyedeklemeişlemibittiktensonra,yedeklemeninyapıldığılokasyondanalınır.

Yedeklemehaftada 1 defa pazartesi günüBilgiİşlemSorumlusununbizzatkendisiyadaonungörevlendirdiğikişitarafındanalınır.

 Pazartesi günüalınan yedekler aynı n içinde, Bilgi İşlem Sorumlusu aracılığıyla hastane yöneticisine imza karşılığı teslim edilir.

Başhekimin olmadığı hallerde yedeklerin kasaya koyulması işlemi, İdari Mali Hizmetler Müdürü tarafındanyapılır.