yön.pr.09 elektronik haberleşme ve bilgisayar kayıtları

AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Revizyon No: 02
Sayfa No: 1 / 6
1. AMAÇ
Kurumda kullanılan bilgisayar ortamındaki yazılımların / kayıtların güvenliğinin
sağlanması ve muhafazası amacıyla yedek alınmasının ve doğru kullanımının yöntemini
belirlemektir. Ayrıca; Afetlerde Sağlık Hizmetleri Şube Müdürlüğünün tüm birimlerinin
elektronik ortamda haberleşme sisteminin ve standartlarının oluşturulmasını amaçlar.
2. KAPSAM
Bu talimat tüm bilgisayarlar ve bilgisayarla çalışan cihazların (simülasyon mankeni,
yazıcılar vb), kurum dokümanlarının güvenli bir şekilde kullanımı, saklanması, yedeklenmesi,
internet erişim ve şifreleme ile elektronik haberleşme işlemlerini kapsar.
3. SORUMLULUK
Bu talimatın uygulanmasından tüm çalışanlar, Birim Sorumluları, Şube Şefi ve Şube
Müdürü sorumludur.
4. UYGULAMA
4.1.
GENEL KULLANIM KOŞULLARI
4.1.1. Bütün PC ve laptoplar otomatik olarak 10 dakika içerisinde şifreli ekran korumasına
geçebilmelidir.
4.1.2. Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalı ve kullanıcı hesabı
şifreleri aktif hale getirilmelidir.
4.1.3. Kurumda domain (çalışma alanı / kurumsal ağ yapısı) yapısı varsa mutlaka login (şifreli
giriş yapılmalı) olunmalıdır. Bu durumda, domain'e bağlı olmayan bilgisayarlar yerel
ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi
yapılmamalıdır.
4.1.4. Bilgisayarların çalınması / kaybolması durumunda, durum fark edildiğinde en kısa
zamanda Şube Şef’ine haber verilmelidir.
4.1.5. Bütün cep telefonu ve PDA (Personal Digital Assistant) cihazlarının şifreleri aktif halde
olmalıdır. Kullanılmadığı durumlarda kablosuz erişim (Kızılötesi, Bluetooth, vs)
özellikleri aktif halde olmamalıdır ve mümkünse anti-virüs programları ile yeni nesil
virüslere karşı korunmalıdır.
4.1.6. Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu
bilgisayarlardan kaynaklanabilecek kuruma veya kişiye yönelik saldırılardan (örnek,
elektronik bankacılık vs.) bilgisayar sahibi sorumludur.
4.1.7. Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışılmamalıdır.
4.1.8. Ağ güvenliğini (örnek, bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi)
veya ağ haberleşmesini (paket sniffing, paket spoofing, denial of service vs. ) bozacak ya
da ortadan kaldıracak eylemlere girişilmemelidir.
4.1.9. Port veya ağ taraması yapılmamalıdır.
4.1.10. Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. (DOS saldırısı, port-network
taraması vb.)
4.1.11. Kuruma ait bilgiler kurum dışından üçüncü şahıslara iletilmemelidir.
4.1.12. Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın
herhangi bir çevre birimi bağlantısı yapılmamalıdır.
4.1.13. Cihaz, yazılım ve veriler izinsiz olarak kurum dışına çıkarılmamalıdır.
AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Revizyon No: 02
Sayfa No: 2 / 6
4.1.14. Kurumda kullanılmakta olan yazılımlar hariç kaynağı belirsiz olan programlar (Dergi
CD'leri veya internetten indirilen programlar vs) kurulmamalı ve kullanılmamalıdır.
4.1.15. Yetkisi olmayan personelin, gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
4.1.16. Kuruma ait veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir.
Bu veriler, ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kâğıt
ortamında üçüncü kişi ve kurumlara verilemez. (Bilgi-Belge Verme Talimatı Bknz.
YÖN.TL.06 )
4.1.17. Bilgi İşlem Birimi tarafından atanan yetkili kişiler kullanıcıya haber vermeden yerinde
veya uzaktan çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir.
Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel kişisel bilgisayardaki
kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez. Dış
ortamdan iç ortama yapılan erişimler kayıt altına alınmalıdır.
4.1.18. Personel, kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve
dizüstü bilgisayarlardaki kurumsal bilgilerin üç ayda bir farklı ortamlara ( cd, dvd, usb,
external harddisk vs.) yedeklenmesinden ve yedeklerinin Başhekimlik Şefine teslim
edilmesinden sorumludur. Başhekimlik Şefi bu bilgileri arşivler ve muhafaza eder.
4.1.19. Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı/ kopyalanmamalıdır.
4.1.20. Bilgisayarlar üzerinden resmi belgeler, programlar ve eğitim belgeleri haricinde dosya
alışverişinde bulunulmamalıdır.
4.1.21. Bilgi İşlem biriminin bilgisi olmadan Ağ sisteminde sunucu nitelikli (web hosting servisi,
e-posta servisi vb.) bilgisayar bulundurulmamalıdır,
4.1.22. Sorumlu bilgi işlem birimi personelinin bilgisi dışında bilgisayarlar üzerindeki ağ
ayarları, kullanıcı tanımları, kaynak profilleri v.b. üzerinde mevcut yapılan düzenlemeler
hiçbir surette değiştirilmemelidir.
4.1.23. Bilgisayarlara herhangi bir şekilde lisanssız program / kullanıcılar yüklenmemelidir.
4.1.24. Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma
açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.
4.2.
YEDEKLEME
4.2.1. Bilgisayar ortamındaki bilgiler / yazılımlar aşağıda belirtilen sıklıkta yedeklenmeli /
muhafaza edilmelidir.
4.2.2. Yazılım ürünlerine ait CD ‘ler kullanımda kaldıkları sürece muhafaza edilmelidir.
Orijinal CD‘lerde kayıp veya hasar oluşması durumunda aynısından satın alınarak
muhafaza edilmelidir.
4.2.3. Re-Writer cihazını kullanarak CD’ye veya uygun nitelikli depolama ünitesini (flash disk
vb) kullanarak tüm dokümantasyon sistemine ait bilgiler yedeklenmelidir.
4.2.4. Küçük bir ihmalinin çok büyük bir para ve zaman kaybına yol açacağı asla
unutulmamalıdır.
AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Bilgisayar
Yedekleme Yedekle
Sıra
Ortamındaki Bilgilerin ve Muhafaza me
No
/ Yazılımların Tanımı Sorumlusu Sıklığı
1
2
3
4
5
Microsoft
Office
Paketlerine Ait Orijinal
CD (Word ve Excel).
Şube Şefi
Windows …… İşletim
Sitemine Ait Orijinal CD
Kalite Yönetim Sistemi
ile ilgili dokümanların
Şube Şefi
ve bilgisayar kayıtlarının
bulunduğu dosyalar.
Kurum
çalışmasında
kullanılan
yazışma
örnekleri
ile Şube Şefi
gerçekleştirilen
çalışmalar
Sunucular
Bilgi İşlem
Revizyon No: 02
Yedeklerin
Saklanma
Yeri
Sayfa No: 3 / 6
Muhafaza Süresi
Kullanımı
iptal
oluncaya veya yeni
Yedeklen
Bilgi
İşlem yazılım alınana kadar.
emez,
Kopyalan Birimi
Kullanımı
iptal
amaz,
oluncaya veya yeni
yazılım alınana kadar.
aylık
aylık
Şube
Müdürlüğü
Şube
Müdürlüğü
Yıllık
Yıllık
Günlük/ay Yedek Server/
Sürekli
lık
DVD
GÜVENLİK
Bilişim sistemlerinin güvenliğinde herhangi bir aksatmaya mahal verilmemesi için genel
sistem seviyesinde alınmış olan güvenlik tedbirleri yanında çalışanlarımızın da bu hususta
titizlikle uyması gereken bir takım kurallar vardır. Uyulması gereken kurallar aşağıda
belirtilmiştir.
4.3.1. Bilgisayarlara nereden geldiği kimden geldiği belli olmayan disket ve CD'ler
takılmamalıdır.
4.3.2. Bilgisayarlarda oyun oynanmamalı, oyun programı kurulmamalıdır.
4.3.3. İnternete bağlı bilgisayarlarda browser güvenlik ayarları ile oynanmamalı, güvenlik
uyarısı veren sitelere girilmemelidir.
4.3.4. İnternete bağlı bilgisayarlarda korsan yazılım sunan sitelerden yazılım yüklenmemelidir.
4.3.5. İnternete bağlı bilgisayarlarda kimden geldiği bilinmeyen, ne olduğu bilinmeyen,
karşısında ünlem işareti olan mailler açılmamalıdır.
4.3.6. Bilgisayarındaki virüs yazılımının sürekli olarak çalışır durumda olması sağlanmalıdır.
4.3.7. Bilgisayarda virüs bulunduğu şüphesi duyulursa Bilgi İşlem Birimine haber verilmelidir.
4.3.
4.4.
İNTERNET KULLANIM POLİTİKASI
4.4.1. Hiçbir kullanıcı peer-to-peer (eşler arası) bağlantı yoluyla internetteki servisleri
kullanamamalıdır. (Örnek; KaZaA, iMesh, eDonkey2000, Gnutella, Napster, Aimster,
Maclster, FastTrack, Audiogalaxy, MFTP, eMule, Overnet, NeoModus, Direct Connect,
AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Revizyon No: 02
Sayfa No: 4 / 6
Acquisition, BearShare, Gnucleus, GTK-Gnutella, LimeWire, Mactella, Morpheus, Phex,
Qtella, Shareaza, XoLoX, OpenNap, WinMX. v.b.)
4.4.2. Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde ICQ, MIRC, Messenger v.b.
mesajlaşma ve sohbet programları gibi chat programları kullanılmamalıdır. Bu chat
programları üzerinden dosya alışverişinde bulunulmamalıdır.
4.4.3. Hiçbir kullanıcı internet üzerinden Multimedia Streaming (video müzik izleme ve
indirme) yapmamalıdır.
4.4.4. Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinmek yasaktır.
4.4.5. İş ile ilgili olmayan (müzik, video dosyaları ) yüksek hacimli dosyalar göndermek
(upload) ve indirmek (download) etmek yasaktır.
4.4.6. İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez ve bu
yazılımlar kurulamaz.
4.4.7. Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve
dosya indirimi yapılmamalıdır.
4.4.8. Bilgisayar İşletimini büyük ölçüde tehdit ettiği için internet üzerinden ekran koruyucu,
masaüstü resimleri, yardımcı program olduğu belirtilen araçlar gibi her türlü dosya ve
programların indirilmesi / kopyalanması yasaktır.
4.4.9. Çalışanlar dışındaki kişilerin kurum içerisinden internet kullanmaları Bilgi İşlem
sorumlusunun izni ve bu konudaki kurallar dahilinde gerçekleştirilebilecektir.
4.4.10. Kurum, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme
ve istatistik yapabilir.
4.4.11. Paylaşılan dosyalardan işlemi tamamlananlar ortak ağ üzerinde bırakılmamalıdır.
4.5.
ELEKTRONİK HABERLEŞME
4.5.1. Yapılan tüm haberleşme işlemlerinin sorumluluğu birim ve istasyon sorumlularına aittir.
4.5.2. İdari birimler tarafından e-mail yolu ile gönderilen bilgiler ,bildirim olarak kabul
edilerek, ilgili personele yazılı tebligatları yapılacak ve istenen bilgilerin ivedi biçimde
temini sağlanacaktır
4.5.3. Elektronik haberleşme sistemi üzerinden; nöbet listeleri, nöbet değişim başvuruları,
eğitim listeleri, eğitim duyuruları ve Şube Müdürü tarafından onaylanmış emir ve
talimatları paylaşılacaktır.
4.5.4. Yukarıda belirtilen kuralların ihlali saptanması durumunda idari yaptırım uygulanacaktır.
4.6.
E-POSTA KULLANMA KURALLARI
4.6.1. Şubemizin e-posta sistemden taciz, suistimal veya herhangi bir şekilde alıcının haklarına
zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi kesinlikle yasaktır.
4.6.2. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar
alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
4.6.3. Kişisel kullanım için internet'teki sitelere üye olunması durumunda kurumsal e-posta
adresleri kullanılmamalıdır.
4.6.4. Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
4.6.5. Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta
olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Revizyon No: 02
Sayfa No: 5 / 6
4.6.6. Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda,
fikri mülkiyet içeren malzeme, vb) gönderemezler.
4.6.7. Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu
yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım sistemleri
yetkisiz erişimlere karşı korunmalıdır.
4.6.8. Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-maillerin sahte e-mail
olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
4.6.9. Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları
cevaplandırmalıdır.
4.6.10. Kurum çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz şahıslar
tarafından görülmesi ve okunmasını engellemekten sorumludurlar,
4.6.11. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal
silinmelidir. Çünkü bu mailler virus, e-mail bombaları gibi zararlı kodları içerebilirler.
4.6.12. Kurum dışından güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi
kullanılmamalıdır.
4.6.13. Elektronik postaların sık sık gözden geçirilmesi, gelen mesajların uzun süreli olarak
genel elektronik posta sunucusunda bırakılmaması ve bilgisayardaki kişisel klasör'e
(personel folder) çekilmelidir.
4.6.14. Şube Müdürlüğümüz çalışanları gönderdikleri, aldıkları veya sakladıkları e-maillerde
kişisellik aramamalıdır. Yasadışı ve hakaret edici e-posta haberleşmesi yapılması
durumunda yetkili kişiler önceden haber vermeksizin e-mail mesajlarını denetleyebilir ve
kullanıcı hakkında yasal ve idari işlemler başlatılabilir.
4.6.15. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen epostalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerinin kırıldığını fark
ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler.
4.6.16. Kurumdan ayrılan personel kurumsal e-posta sistemini kullanamaz.
4.7.
ŞİFRE KULLANMA KURALLARI
4.7.1. Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.) en az altı
ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her dört ayda birdir.
4.7.2. Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
4.7.3. Şifreler başkası ile paylaşılmamalı, kâğıtlara ya da elektronik ortamlara yazılmamalıdır.
4.7.4. Şifrelemede, küçük ve büyük karakterlere (örnek, a-z, A-Z), hem rakam hem de
noktalama karakterleri ve ayrıca harfler (örnek;0-9) olmalıdır.
4.7.5. En az sekiz adet alfa numerik karaktere sahiptir.
4.7.6. Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır.
4.7.7. Aile isimleri kullanılmamalıdır.
4.7.8. Herhangi bir kişiye telefonda şifre verilmemelidir.
4.7.9. E-posta mesajlarında şifre yazılmamalıdır.
4.7.10. Şifreler aile bireyleri ile paylaşmamalıdır.
4.7.11. Şifreler, işten uzakta olduğunuz zamanlarda iş arkadaşlarına verilmemelidir.
4.7.12. Bir kullanıcı adı ve şifresi birim zamanda birden çok bilgisayarda kullanılmamalıdır.
AFETLERDE SAĞLIK HİZMETLERİ ŞUBE MÜDÜRLÜĞÜ
ELEKTRONİK HABERLEŞMEVE
BİLGİSAYAR KAYITLARI GÜVENLİK PROSEDÜRÜ
Doküman No:
YÖN. PR.09
Yayın Tarihi:
27.06.2013
Revizyon Tarihi:
30.09.2015
Revizyon No: 02
Sayfa No: 6 / 6
4.7.13. Şifre kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir. Güvenlik taraması
sonucunda şifreler tahmin edilirse veya kırılırsa kullanıcıya şifresini değiştirmesi talep
edilecektir.
4.8.
ANTİ-VİRÜS POLİTİKASI
4.8.1. Bütün bilgisayarlarda lisanslı anti-virüs yazılımı yüklü olmalıdır ve otomatik olarak
güncellenmelidir.
4.8.2. Anti-virüs yazılımı yüklü olmayan bilgisayarlar ağa bağlanmamalıdır.
4.8.3. Zararlı programları (örnek, virüsler, solucanlar, truva atı, e-mail bombaları, vs) Kurum
bünyesinde oluşturmak ve dağıtmak yasaktır.
4.8.4. Hiçbir kullanıcı herhangi bir sebepten dolayı anti-virus programını sisteminden
kaldıramaz.
4.9.
4.9.1.
4.9.2.
4.9.3.
İLGİLİ DOKÜMANLAR
Bilgi-Belge Verme Talimatı (YÖN. TL.06)
T.C. Sağlık Bakanlığı Personel İçin Bilgi Güvenliği Politikası
T.C. Sağlık Bakanlığı Yöneticiler İçin Bilgi Güvenliği Politikası