bilgi güvenliği politikası - Bursa İl Sağlık Müdürlüğü

Transkript

*
BURSA İL SAĞ LIK M ÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞ İ POLİTİKASI
TC
DOK. KODU
^B U R SA
LA- A**
B < ir a ı4 |
| SBS.B.G.POL.Ol
YAYIN TARİHİ | 25.11.2015 |
REVİZYON TARİHİ
|
SAYFA NO :1/21
| REV.NO |
BURSA İL SAĞLIK MÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞİ
POLİTİKASI
Hazırlayan: Sağlık Bilgi Sistemleri Şube Müdürlüğü
2015 V2
Hüdavendigar Mahallesi Hat Caddesi No:4
Osmangazi / BURSA
0224 295 60 00
W
BURSA İL SAĞ LIK M ÜDÜRLÜĞ Ü
BURSA
T C S «0 M ı
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
REV.NO |
SAYFA NO :2/21
İ ç in d e k ile r
1.
A M A Ç .....................................................................................................................................................................3
2.
H ED E F.....................................................................................................................................................................3
3.
K A P S A M ................................................................................................................................................................ 4
4.
T A N I M L A R .......................................................................................................................................................... 4
5.
E S A S L A R ...............................................................................................................................................................5
6.
ROLLER VE S O R U M L U L U K L A R ...............................................................................................................6
7.
İNSAN K AY NAKLA RI ZAFİYETİ Y Ö N E T İM İ......................................................................................7
8.
İŞE BAŞLAYIŞ VE İŞTEN AYRILM A P R O S E D Ü R Ü .......................................................................... 8
9.
MAL VE HİZMET ALIMI G Ü V E N L İĞ İ..................................................................................................... 9
10.
BİLGİ KAY NAKLA RI ATIK VE İMHA Y Ö N E T İM İ..................................................................... 10
11.
SOSYAL M ÜHENDİSLİK ZA F İY E T L E R İ......................................................................................... 11
12.
SOSYAL M EDYA G Ü V E N L İĞ İ............................................................................................................ 11
13.
İHLAL YÖNETİM İ VE Y A P T IR IM L A R .............................................................................................12
14.
POLİTİKANIN YÜRÜRLÜĞ E GİR İŞİ..................................................................................................14
15.
POLİTİKANIN D U Y U R U L M A S I..........................................................................................................14
16.
POLİTİKA GÖZDEN GEÇİRME K U R A L L A R I................................................................................14
17.
POLİTİKA REVİZYON G E Ç M İŞ İ.........................................................................................................14
18.
K A Y N A K LA R/R EFERA N SLA R ............................................................................................................ 14
19.
DESTEK PO LİTİK A LA R .......................................................................................................................... 15
19.1.
E-Posta Kullanım Politikası.................................................................................................16
19.2.
Parola Kullanım Politikası...................................................................................................17
19.3.
Anti virüs Politikası.............................................................................................................. 18
19.4.
İnternet ve Ağ Kullanım-Erişim Politikası....................................................................... 18
19.5.
Genel Kullanım Politikası....................................................................................................19
20.
F O R M L A R ..................................................................................................................................................... 21
20.1.
İşten Ayrılış Onay Form u....................................................................................................21
20.2.
İhlal Bildirim Formu............................................................................................................ 21
Osmangazi / BURSA
0224 295 60 00
*
u
DOK. KODU
1 SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO [
^B U R SA
SAYFA NO :3/21
1. AMAÇ
Bursa İl Sağlık M üdürlüğü’nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik,
bütünlük ve erişilebilirlik kapsam ında değerlendirilerek içeriden ve/veya dışarıdan
gelebilecek, kasıtlı veya kasıtsız oluşabilecek tüm tehditlerden korunması ve yürütülen
faaliyetlerin etkin, doğru, hızlı ve güvenli olarak gerçekleştirilm esini tem in etmektir.
Bilgi Güvenliği Politikasının hazırlanm asındaki amaç ise, Bursa İl Sağlık M üdürlüğü ve bağlı
birim lerin sahip olduğu tüm bilgi varlıklarının korunm ası ve uygun biçim de yönetilm esinin
sağlanmasıdır.
Aynı zam anda tüm ilgili taraflara Bursa İl Sağlık M üdürlüğü bilgi güvenliği gereksinim lerinin
bildirilmesi ve yazılı kuralların temel dayanağının oluşturulmasıdır.
2. HEDEF
Bilgi Güvenliği Politika şartlarını yerine getirerek, çalışanların bilgi güvenliği farkındalığını
arttırmak, teknik güvenlik kontrollerini uygulam ak ve kurum un temel ve destekleyici iş
faaliyetlerinin en az kesinti ile devam etmesini sağlamak (iş sürekliliği), kurum sal riskleri en
alt seviyeye indirerek kurum un güvenliği ile güvenilirliğini ve temsil ettiği kurum un imajını
korumaktır.
Osmarıgazi / BURSA
0224 295 60 00
*
BURSA İL SAĞ LIK M ÜD ÜR LÜ Ğ Ü
BİLGİ G ÜVENLİĞ İ PO LİTİK ASI
m
DOK. KODU
|
SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
j REV.NO
^
BURSA
L
SAYFA NO :4/21
3. KAPSAM
Bu politika Bursa İl Sağlık M üdürlüğü ve tüm bağlı birimleri kapsar.
Bursa İl Sağlık M üdürlüğü Bilgi Güvenliği Politikası aşağıdaki varlık ve teknoloji
kategorilerini kapsamaktadır:
1.1.Veri dosyaları, sözleşm eler ve benzeri tüm bilgi varlıkları,
1.2.Uygulam a yazılım ları, sistem yazılımları ve hizm etlerden oluşan yazılım varlıkları,
1.3. Yönlendirici cihazları, güvenlik cihazları, sistem yönetim sunucuları, yasal
yüküm lülükler kapsam ında kurulm uş sunucu sistemleri, uydu sistem leri, bilgisayarlar,
iletişim donanım ı ve veri depolam a ortam larını içeren fiziksel varlıklar,
1.4.Tüm işlevlerin yerine getirilmesi ile ilgili aydınlatm a, iklimlendirm e, kablolam a gibi
unsurlardan oluşan hizm et varlıkları,
1.5.Kapsamdaki faaliyetlerin yürütülm esini sağlayan insan kaynakları varlıkları,
1.6.Kurum tarafından üretilen, kullanılan ve/ve ya geliştirilen tüm verileri kapsar.
4. TA NIM LA R
Bu politika ve esaslarında geçen,
Bilgi G üvenliği
:Bursa İl Sağlık M üdürlüğü bilgi varlıklarının gizlilik, bütünlük ve
erişilebilirlik özelliklerinin korunması.
V arlık
: Bursa İl Sağlık M üdürlüğü iş süreçleri için değeri olan, kaybı halinde
işlerin aksayacağı, insan, yazılım, donanım, itibar, bilgi gibi unsurların tümüdür.
G izlilik
:Bilginin sadece yetkili kişiler tarafından erişilebilir olması.
Bütünlük
¡Bilginin yetkisiz değiştirm elerden korunması ve değiştirildiğinde
farkına varılması.
Erişilebilirlik
¡Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an erişilebilir
olması.
Osmangazi / BURSA
0224 295 60 00
u
¥
TC
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO
BURSA
SAYFA NO :5/21
5. ESA SL A R
5.1.İş süreçlerinin gereksinim i olarak her türlü bilgi en az kesintiyle; hizm et alanlar,
hizm et verenler ve yetkilendirilm iş üçüncü taraflarca erişilebilir olacaktır.
5.2.Bilgilerin gizliliği, bütünlüğü ve erişilebilirliğinin sürekli olarak sağlanm ası için azami
derecede çalışm alar yapılacaktır.
5.3.H izm et alanlar ve verenler ya da üçüncü taraflara ait olm asına bakılm aksızın, üretilen
ve/veya kullanılan bilgilerin gizliliği her durum da güvence altına alınacaktır.
5.4.Sadece kendine erişim yetkisi verilm iş bilgilere, yetkisi dâhilinde erişilecek; bilgi
yetkisiz erişim e karşı korunacaktır.
5.5.Kişisel ve elektronik iletişim de ve dış taraflarla yapılan bilgi alışverişlerinde kuruma
ait bilginin güvenliğini sağlanacaktır,
5.6.K ritiklik düzeylerine göre işlenen bilgi yedeklenecektir,
5.1.Bilgilerin etkileşim de bulunduğu varlıklar ile ilgili açıklıklar, bu açıklıklara yönelik
tehditler ve bu tehditlerin gerçekleşme olasılığı ile gerçekleşmesi sonucunda oluşacak
zararların önlenmesi veya en aza (kabul edilebilir düzeye) indirilmesi için yapılacaklar
planlanacaktır.
5.2.Türkiye Cumhuriyeti yasaları, yönetmelikler, genelgeler ve sözleşm eler ile belirlenm iş
gereksinim ler karşılanacaktır.
5.3.Personelin bilgi güvenliği farkındalığını artıracak ve sistem in işleyişine katkıda
bulunmasını teşvik edecek eğitim ler düzenli olarak kurum çalışanlarına ve yeni işe
giren çalışanlara sağlanacaktır.
5.4.Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilecek; ihlallere sebep
olan uygunsuzluklar tespit edilecek, ana sebepleri bulunarak tekrar edilmesini
engelleyici önlem ler alınacaktır.
5.1.Bursa İl Sağlık M üdürlüğü çalışanları kullandıkları tüm bilgi sistem lerinde “Parola
Kullanm a Politikası”na uygun hareket edeceklerdir.
5.2.Bursa İl Sağlık M üdürlüğü çalışanları kurum ağ ve internet sistem lerini kullanırken
“Internet ve Ağ Kullanım Politikası”na uygun hareket edeceklerdir.
5.3.Tüm birim yöneticileri bu esasların uygulanm asından birinci derecede sorumlu
olacaklar ve personelinin esaslara uygun olarak çalışm asını sağlayacaktır.
Osmangazi / BURSA
0224 295 60 00
u
BİLGİ G ÜVENLİĞ İ POLİTİKASI
A
b u r sa
ct>Çi*ra» İŞ
DOK. KODU
| SBS.B.G.POL.Ol
YAYIN TARİHİ 1 25.11.2015 1
REVİZYON TARİHİ
|
1 REV.NO |
SAYFA NO :6/21
6. R OLLER VE SO RUM LULUK LAR
Bilgi Güvenliği Politikası kapsam ındaki temel rol ve sorum luluklar aşağıda tanımlanmıştır:
1.7.Kapsam dâhilindeki tüm Kurum personeli, paydaş ve üçüncü taraflar Bilgi Güvenliği
Politikasına uymak zorundadır.
1.8.Kapsam dâhilindeki tüm personel güvenlik olaylarını, fark edilen güvenlik
açıklıklarını ve güvenlik kuralları ihlallerini en kısa sürede Bilgi Güvenliği
Sorum lularına raporlam aktan sorumludur.
1.9.Bilgi Güvenliğinin yönetim inden Bilgi Güvenliği Sorumluları, devam lılığının
sağlanm asından ve gözden geçirilm esinden Kurum Yönetimi sorumludur.
1.10.Bilgi Güvenliği Sorumluları bilgi güvenliği politikasının uygulanmasını sağlam akla
ve gözden geçirmekle sorumludur.
1.11.Kurum Yönetimi çeşitli kurallar ve süreçler ile bu politikanın uygulanmasını
desteklem ekle sorumludur.
1.12.Bilgi varlıklarının gizlilik, bütünlük, erişilebilirliğinin korunm asından varlık sahipleri
sorumludur.
1.13.Tüm çalışanların bilgi güvenliği bilincini arttırm ak için belirli aralıklarla farkındalık
eğitim lerinin verilmesi Bilgi Güvenliği Sorum lularının sorumluluğundadır.
Osmangazi / BURSA
0224 295 60 00
o
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
^
BURSA
SAYFA NO :7/21
7. İNSAN KAY NA K LA R I ZAFİYETİ YÖNETİM İ
7.1.Kurum Personeline ait şahsi dosyalar kilitli dolaplarda m uhafaza edilmeli ve
dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
7.2.İmha edilmesi gereken m üsvedde halini almış ya da iptal edilmiş yazılar vb. kâğıt
kesme m akinesinde im ha edilmelidir.
7.3.ÇKYS Sistem inde kişiyle ilgili bir işlem yapıldığında ekranda bulunan kişisel
bilgilerin diğer kişi veya kişilerce görülm esi engellenm elidir.
7.4.Tüm personelin kim liklerini belgeleyen kartları görünür şekilde üzerlerinde
bulundurm alıdır.
7.5.Görevden ayrılan personel, zim m etinde bulunan malzem eleri teslim etmelidir.
7.6.Görevden ayrılan personelin kim lik kartı alınmalı ve yazıyla idareye teslim
edilmelidir.
7.7.Güvenlik zafiyetlerine karşı son kullanıcılar kendi hesaplarının ve/veya sorumlusu
oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini
korumalı ve başkaları ile paylaşm amalıdır.
7.8.Son kullanıcılar güvenlik zafiyetlerine neden olm amak için bilgisayar başından
ayrılırken m utlaka ekranlarım kilitlemelidir.
7.9.Son kullanıcılar bilgisayarlarında veya sorumlusu oldukları sistem ler üzerinde USB
flash bellek ve/veya harici hard disk vb. bırakm amalıdır.
7.10.Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili
bilgi istenilm esi halinde hiçbir suretle bilgi verilmem elidir.
7.11.Kurum, mevcut envanteri haricindeki donanım ların kurum bilgisayarlarında
kullanım ını engellem elidir.
7.12.Son kullanıcılar mesai bitim inde bilgisayarlarını kapatmalıdır.
Osmangazi / BURSA
0224 295 60 00
*
BURSA İL SAĞLIK M ÜDÜRLÜĞÜ
BURSA
w
T C S . 'İ X B s * . i r t g ı
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :8/21
8. İŞE BAŞLAYIŞ VE İŞTEN AYRILM A PROSEDÜRÜ
8.1.İşe Başlayış Prosedürü
•
•
•
•
•
İşe başlayan her personele (kadrolu ve hizm et alımı dâhil) bilgi güvenliği ve sosyal
m ühendislik zafiyetleri konularında eğitim verilmelidir.
K ullanıcılar kurum um uzca tanım lanm ış ve yayınlanm ış gizlilik sözleşmelerini
im zalayarak kurum politikalarına uyacaklarını taahhüt ederler. H er çalışan personel
Gizlilik Sözleşmesini (PC kullansın kullanm asın, kadrolu veya sözleşmeli tüm
personel) im zalam akla yükümlüdür.
Var ise kullanacağı bilgi sistem lerine yönelik kullanıcı adı ve şifreleri tanımlanmalıdır.
EBYS üzerinden yazışm a yapabilmesi ve ya yazışm aları takip edebilmesi için ilgili
personele saglik.gov.tr uzantılı
e-mail
adresi
tanım lanm alıdır.
İl
içi
yer
değişikliklerinde ise sistem üzerinden kurum /birim değişikliği tanımlaması
yapılmalıdır.
Tüm personele kurum kim lik kartı çıkartılmalıdır.
8.2.İşten Ayrılış Prosedürü
• Görevden ayrılan personelin kurum kim lik kartı ve yaka kartı alınmalıdır.
• Kullandığı bilgi sistem lerine yönelik (ÇKYS/TSIM , EBYS vb.) kullanıcı adı ve
şifreleri ilgili sistem yöneticileri tarafından iptal edilmeli ya da p asif hale
getirilmelidir.
• G örevden ayrılan personel, zim m etinde bulunan m alzem eleri teslim etmelidir.
• Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve
belgeleri teslim etmelidir.
• G örevden ayrılan personel “İŞTEN AYR ILM A ONAY F O R M U 'nu doldurarak
bağlı bulunduğu kurum un insan kaynakları birim ine teslim etmelidir.
• İlgili form doldurulm adan personelin kurum ile ilişiği kesilmez.
Osmangazi / BURSA
0224 295 60 00
0
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
'«■ BURSA
Ü m S*»
SAYFA NO :9/21
9. M AL VE HİZM ET ALIM I GÜVENLİĞİ
9.1.Kurum
olarak
mal
ve
hizm et
alım larında
ilgili
kanun,
genelge,
tebliğ
ve
yönetm eliklere aykırı olm ayacak rekabeti engellem eyecek şekilde gerekli güvenlik
düzenlemeleri Teknik şartnam elerde belirtilmelidir.
9.2.Dış kaynak kullanım ı ve üçüncü taraf hizm et sunumunun diğer formları arasındaki
farklılıkların bazıları; Sorumluluk, geçiş durum u planlam a ve işlemler süresince
potansiyel kesinti süresi, acil durum planlaması yönetm elikleri ve durum tespitinin
gözden
geçirilm esi,
güvenlik
olayları
hakkında bilgi
toplanması ve yönetimi
konularında sorular içerecektir. Bu nedenle, dış kaynaklı bir yönetm elik geçişinde;
kuruluş değişiklikleri yönetm ek için uygun süreçlere ve anlaşm aların yeniden
m üzakere edilmesi ya da fesih edilmesi hakkına sahip olduğu için kuruluşun
planlaması ve yönetim i önemlidir.
9.3.Üçüncü taraflarla yapılan anlaşm alar diğer tarafları içerebilir. Üçüncü taraflara erişim
hakkı verilm eden önce, erişim hakkı ve katılım için diğer tarafların ve koşulların
belirlenm esi am acıyla anlaşm aya varılması gerekir.
Osmangazi / BURSA
0224 295 60 00
*
BURSA İL SAĞLIK MÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞİ POLİTİKASI
A
b u r sa
L
w
C S a Ç * B e fc > ı >
DOK. KODU
1 SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO
SAYFA NO :10/21
10. BİLGİ K AYNAKLARI ATIK VE İM HA YÖNETİM İ
10.1.Evraklar idari ve hukuki hükümlere göre belirlenm iş Evrak Saklama Planı'na uygun
olarak m uhafaza edilm esi gerekmektedir.
10.2.Yasal bekleme süreleri sonunda tasfiyeleri sağlanm alıdır. Burada Özel ve Çok Gizli
evraklar “Devlet Arşiv Hizmetleri Yönetm eliği” hükümleri gereği oluşturulan “Evrak
İmha Kom isyonu” ile karar altına alınmalı ve imha edilecek evraklar kırpm a veya
yakılarak imhaları yapılmalıdır. İmha edilem eyecek evrak tanım ına giren belgeler geri
dönüşüm e devirleri yapılmalıdır.
10.3.Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 M art 2005 Tarihli
25755 sayılı Resmi Gazete 'd e yayınlanmış, sonraki yıllarda da çeşitli değişikliklere
uğram ış katı atıkların kontrolü yönetm eliğine ve Basel Sözleşm esine göre
donanım ların im ha yönetimi gerçekleşmelidir. Kom isyonca koşullar sağlanarak
donanım lar parçalanıp, yakılıp (Özel kimyasal maddelerle) im ha edilmelidir.
10.4.İm ha işlemi gerçekleşecek m ateryalin özellik ve cinsine göre im ha edilecek lokasyon
belirlenm elidir.
10.5.Uygun şekilde kırılması ve kırılm a sürecinden önce veri ünitelerinin adet bilgisi
alınmalıdır.
10.6. Y etkilendirilm iş personel tarafından imhası gerçekleşen atıklara data im ha tutanağı
düzenlenm esi ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin data-im ha
tutanağı düzenlenmelidir.
10.7.K ırılan parçaların fiziksel m uayene ile tam am en tahrip edilip edilm ediğinin kontrolü
yapılmalıdır.
10.8.Tam amen tahrip edilem em iş disk parçalarının delme, kesme m akinaları ile
kullanılam az hale getirilmelidir.
10.9.Hacimsel küçültm e işlemi için parçalanmalıdır.
10.10. Çıkan m etallerin sınıflarına göre ayrılarak, biriktirildikten sonra eritme tesislerine
iletilmesi gerekmelidir.
Osmangazi / BURSA
0224 295 60 00
*
^B U R S A
w
T C S s y e EîSanugı
DOK. KODU
| SBS.B.G.POl.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :11/21
11. SOSYAL M ÜH ENDİSLİK ZAFİYETLERİ
İnsanların zafiyetlerinden faydalanarak çeşitli etkilem e, ikna ve kandırm a yöntem leriyle
istenilen (normalde paylaşm amaları gereken) bilgileri elde etmeye çalışmaktır.
11.1.Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket
edilmelidir.
11.2.A rkadaşlarım ızla paylaştığım ız bilgileri seçerken dikkat edilmelidir.
11.3.Telefon, e-posta veya sohbet yoluyla yapılan haberleşm elerde Kullanıcı adı ve
özellikle şifre bilgileri paylaşılm am alıdır. Şifre kişiye özel bilgidir. Sistem yöneticileri
dâhil telefonda veya e-posta yazışm alarında şifremizi paylaşm amalıyız. Sistem
yöneticisi gerekli işlemi şifrenize ihtiyaç duym adan da yapabilmelidir.
11.4.Kazaa, eM ule gibi dosya paylaşım yazılım ları kullanılmamalıdır.
11.5. Sadece yetkili kişilerin kurum içersindeki sınırlı bölüm lere erişim izni olduğundan
emin olmak için uygun erişim kontrol mekanizm aları olması gerekir.
11.ö.Kurum W eb Sayfasında kurum ile ilgili paylaşılan bilgilere son derece dikkat
edilmeli ve bu sürekli izlenmelidir.
11.7.Elektronik posta ile yapılan yazışm alarda saglik.gov.tr uzantılı e-posta hesapları
kullanılmalıdır.
11.8.E-Postalara gelen kaynağı belli olm ayan, şüphe uyandıran e-postalar açılmamalı ve
ilgili sorum lulara bilgi verilmelidir.
12. SOSYAL M EDYA GÜVENLİĞİ
12.1.Sosyal m edya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan
şifreler farklı olmalıdır.
12.2.Kurum içi bilgiler sosyal m edyada paylaşılm am alıdır.
12.3.K urum a ait hiçbir gizli bilgi, yazı sosyal m edyada paylaşılm am alıdır.
Osmangazi / BURSA
0224 295 60 00
DOK. KODU
1
SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
BURSA
SAYFA NO :12/21
13. İHLAL YÖ NETİM İ VE YAPTIR IM LA R
13.1. Bilgi Güvenliği İhlal Yönetim i
Bursa İl Sağlık M üdürlüğü ve tüm Bağlı Birimleri kapsamı dâhilinde yaşanabilecek Bilgi
Güvenliği ihlal durum larında sürecin nasıl yönetileceğini ifade eder.
Yönetim Uygulama:
Bilgi Güvenliği olayları derhal rapor edilmelidir. Bilgi Güvenliği kapsam ındaki olaylar,
raporun iletileceği yetkili birim ve kişiler aşağıda belirtilmiştir. Kurumsal Bilgi Güvenliği
Politikasına uymayan her tür davranış, Bilgi Güvenliği prensiplerine aykırı her tür bilgi
paylaşımı, uygunsuz PC/Notebook kullanım ı, yetkisiz personellerin yetkili olmadıkları
yerde görülm eleri/bulunm aları, Bilgisayar ve varlıkları ile ilgili her tür hırsızlık, kaybolma
vb. olum suz durum lar Bilgi Güvenliği olayı kapsam ına girmektedir.
Bilgi Güvenliği kapsam ında olduğu düşünülen her türlü olay, Bursa İl Sağlık M üdürlüğü
kurumsal web sayfasında (w ww .bsm .gov.tr) yayınlanm ış bulunan elektronik ihlal bildirim
formu aracılığı ile bildirilir. Sistem in çalışmadığı durum larda m eydana gelen ihlal bildirim
leri ise Ekte bulunan “İhlal Bildirim Formu” doldurulm ak suretiyle yapılacaktır. Formda
belirtilm iş bulunan Bilgi Güvenliği olaylarının yanı sıra:
İşletim sistemi arızalan, sistem in yavaşlaması, cihazların fazla ısınm ası, spam olarak
gelen e-postaların artması, yetkisiz girişe uygun olm ayan alanlara yetkisiz girişlerin
yapılması veya girişlerinin açık görülm esi/bulunm ası, kilitlenmeyen dolaplar,
kapatılm ayan oturum lar/bilgisayarlar, halka açık ve ya üçüncü şahısların görmemesi
gerektiği ancak görebileceği ortam larda bulunan belgeler/evraklar/doküm anlar diğer Bilgi
Güvenliği İhlal olayları arasında yer almaktadır.
Osmangazi / BURSA
0224 295 60 00
ci»
TC. i - DOK. KODU
^ BURSA
*>
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :13/21
Olay halinde ilk m üdahale ilgili/yetkili Birim tarafından yapılır. Olayı rapor eden personelin
yetkililerin m üdahalesine kadar hiçbir şeye dokunm am ası gerekmektedir.
Y etkisiz giriş
Yazılım arızası
Virüs / Solucan / Trojan
Spam
W eb Sitesinin Hack Edilmesi
Tehdit / E-Posta Bombardımanı
M üstehcen veya Çirkin Mesaj Gelmesi
Güvenlik A çıklarından Faydalanma
Diğer
YETKİLİ
BİRİM
YETKİLİ
PERSONEL
m
u
O
3 5nJ
.d
- 2
i w
-j “
>o S
*C
S;
SİSTİ
OLAY TANIM I
S
Zj U
~ :3
.=2 -a
ce :3
jŞt) S
S £
¿4 3
>D£
13.2.Yaptırım lar
Bilgi Güvenliği Politikası kapsam ında oluşturulm uş kural ve süreçleri ihlal eden personel,
paydaş ve üçüncü taraflar hakkında adli ve idari yasal takibat başlatılarak; 657 sayılı
Devlet M em urları K anununun 125. M addesi gereğince işlem yapılabilir ve /ve ya ilgili
sözleşm elerde yer alan yaptırım ların bir ya da birden fazla hükmü uygulanabilir. Bahsi
geçen cezai işlemlerden bazıları aşağıdaki gibidir:
• Uyarma
• Kınama
• A ylıktan kesme
• Kademe ilerlem esinin durdurulm ası
• Para cezası
• Sözleşm enin feshi
Osmangazi / BURSA
0224 295 60 00
O
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
BURSA
SAYFA NO :14/21
14. PO LİTİK ANIN YÜR Ü RLÜ Ğ E GİRİŞİ
İşbu “Bilgi Güveliği Politikası” İl Sağlık M üdürünce onaylanm asının ardından yürürlüğe girer
ve tüm İl Sağlık M üdürlüğü personelince uyulması gereklidir.
15. PO LİTİK ANIN DUYURULM ASI
İşbu “Bilgi Güveliği Politikası” yürürlüğe girm esinin ardından Tüm şube ve birim lere yazılı
olarak iletilir. Politikanın tüm personelce okunup okunmadığı ayrı ayrı her bir birim in amiri
sorumluluğundadır.
16. POLİTİKA GÖ ZDEN GEÇİRM E KURALLARI
Bilgi Güvenliği Politikası, Bilgi Güvenliği Sorumluları tarafından periyodik olarak altı ayda
bir kez, üst yönetim tarafından ise yılda bir kez gözden geçirilir. Y önetm eliklerde veya bilgi
güvenliği uygulam a süreçlerindeki değişiklikler politikanın gözden geçirilm esini gerektirir.
Gözden geçirilen ve güncellenen politika Kurum Yönetimi tarafından onaylanır. Onaylanan
politika Kurum internet sitesi ve çeşitli duyuru kanallarında yayımlanır.
17. PO LİTİK A R EVİZY O N GEÇM İŞİ
No
00
01
Revizyon Tarihi
12.10.2014
23.11.2015
18.
❖
❖
❖
Revizyon Detayı
İlk Versiyon
İkinci Versiyon
K A Y NA K LA R /R EFER AN SLA R
28/02/2014 Tarih ve 5181.1272 sayılı Bilgi Güvenliği Politikaları Yönergesi
Bilgi Güvenliği Politikaları Kılavuzu
ISO/IEC 27001, ISO 22301 standartları
Osmangazi / BURSA
0224 295 60 00
*
u
A
b u r sa
c v+y rt*
DOK. KODU
1 SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :15/21
19. DESTEK PO LİTİK ALAR
K urum um uz “Bilgi Güvenliği Politikası” çerçevesinde, kurumsal bilgi sistem lerinin
güvenliğinde herhangi bir aksam aya mahal verilm em esi için genel sistem seviyesinde alınmış
olan güvenlik tedbirleri yanında aşağıda belirtilen hususlara bütün Kurum çalışanları uymak
zorundadır.
❖
❖
❖
❖
❖
❖
E-Posta Kullanım Politikası
Parola Kullanım Politikası
Anti virüs Politikası
İnternet ve Ağ K ullanım -Erişim Politikası
Genel Kullanım Politikası
G izlilik Sözleşmesi
Osmangazi / BURSA
0224 295 60 00
(1 )
DOK. KODU
| SBS.B.G.POL.Ol
BİLGİ GÜVENLİĞİ PO LİTİK ASI
REVİZYON TARİHİ
|
| REV.NO |
>4
BURSA
SAYFA NO :16/21
19.1. E-Posta Kullanım Politikası
19.1.1. Kurum un e-posta sistem i, taciz, suistimal veya herhangi bir şekilde alıcının
haklarına zarar verm eye yönelik öğeleri içeren mesajların gönderilmesi için
kesinlikle kullanılamaz.
19.1.2. Zincir m esajlar ve m esajlara iliştirilm iş her türlü çalıştırılabilir dosya içeren epostalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmem elidir.
19.1.3. Kişisel kullanım için İntem et’teki listelere üye olunması durum unda kurum eposta adresleri kullanılmamalıdır.
19.1.4. Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmem elidir.
19.1.5. Kullanıcıların kullanıcı kodu/şifresini girm esini isteyen e-postaların sahte e-posta
olabileceği dikkate alınarak, herhangi bir işlem yapılm aksızın derhal silinmelidir.
19.1.6. Çalışanlar e-posta ile uygun olm ayan içerikler (pornografi, ırkçılık, siyasi
propaganda, fikri m ülkiyet içeren m alzem e vb.) gönderemezler.
19.1.7. Çalışanlar, m esajlarının yetkisiz kişiler tarafından okunmasını engellem elidirler.
Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım /yazılım
sistemleri yetkisiz erişim lere karşı korunmalıdır.
19.1.8. Kurum çalışanları m esajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları
cevaplandırm alıdır.
19.1.9. Kurum çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz
şahıslar tarafından görünmesi ve okunmasını engellem ekten sorumludurlar.
19.1.10. Kaynağı bilinm eyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve
derhal silinmelidir. Çünkü bu m ailler virüs, e-mail bombaları ve truva atı gibi
zararlı kodlar içerebilirler.
19.1.11. Kurum dışından güvenliğinden emin olunm ayan bir bilgisayardan web posta
sistemi kullanılmamalıdır.
19.1.12. Elektronik postalar sık sık gözden geçirilm eli, gelen m esajlar uzun süreli olarak
genel elektronik posta sunucusunda bırakılm amalı ve bilgisayardaki bir kişisel
klasöre çekilmelidir.
19.1.13. M üdürlüğüm üz çalışanları gönderdikleri, aldıkları veya sakladıkları e-maillerde
kişisellik aram amalıdır. Yasadışı ve hakaret edici e-posta haberleşmesi yapılması
durum unda yetkili kişiler önceden haber verm eksizin e-mail mesajlarını
denetleyebilir ve kullanıcı hakkında yasal ve idari işlem ler başlatabilir.
Osmangazi / BURSA
0224 295 60 00
d
»
BİLGİ G ÜVENLİĞ İ PO LİTİK ASI
^
BURSA
I
r r :s 3 $ — DOK. KODU
1 SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :17/21
19.1.14. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve
gönderilen e-postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerin
kırıldığım fark ettikleri andan itibaren yetkililerle tem asa geçip durum u haber
vermekle yükümlüdürler.
19.1.15. Altı ay süre ile kullanılm ayan e-posta kutuları Sağlık Bilgi Sistemleri Şubesi
Bilgi İşlem Birimi tarafından kaldırılabilir. Kurumdan ayrılan personel kurumsal
e-posta sistem ini kullanamaz. E-posta adresine sahip kullanıcı herhangi bir
sebepten birim değiştirme, emekli olma, işten ayrılm a sebepleriyle kurumdaki
değişikliğini yetkililer tarafından Sağlık Bilgi Sistemleri Şubesi Bilgi İşlem
Birimine en kısa zam anda bildirilm esi gerekmektedir.
19.2. Parola Kullanım Politikası
19.2.1. Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.) en
az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her üç ayda
birdir.
19.2.2. Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
19.2.3. Şifreler başkası ile paylaşılm am alı, kâğıtlara ya da elektronik ortam lara
yazılmamalıdır.
19.2.4. Şifreler, küçük ve büyük karakterlere (örnek, a-z, A-Z), hem rakam hem de
noktalam a karakterlerine (örnek, 0-9, !’A+% & /()=?_;*) sahip olmalıdır.
19.2.5. En az sekiz adet alfa nüm erik karaktere sahip olmalıdır.
19.2.6. Herhangi bir dilde argo, lehçe veya teknik bir kelim e olmamalıdır.
19.2.7. Aile isimleri kullanılmamalıdır.
19.2.8. Herhangi bir kişiye telefonda şifre verilmem elidir.
19.2.9. Şifreler aile bireyleriyle paylaşılm amalıdır.
19.2.10. Şifreler, işten uzakta olunduğu zam anlarda iş arkadaşlarına verilmem elidir.
19.2.11. Bir kullanıcı adı ve şifresi birden çok bilgisayarda kullanılmamalıdır.
19.2.12. Şifre kırm a ve tahm in etme operasyonları belli aralıklar ile yapılabilir. Güvenlik
taraması sonucunda şifreler tahm in edilirse veya kırılırsa kullanıcıya şifresini
değiştirmesi talep edilecektir.
Osmangazi / BURSA
0224 295 60 00
re
0
DOK. KODU
A
b u r sa
Bcfc-'V ;*
1 SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO
SAYFA NO :18/21
19.3. Anti virüs Politikası
19.3.1. Bütün bilgisayarlarda kurum un lisanslı antivirüs yazılım ı yüklü olm alıdır ve
çalışm asına engel olunmamalıdır.
19.3.2. A ntivirüs yazılım ı yüklü olm ayan bilgisayar ağa bağlanm am alı ve hem en Sağlık
Bilgi Sistem leri Şubesi Bilgi İşlem Birimine haber verilmelidir.
19.3.3. Zararlı program lan (virüsler, solucanlar, truva atı, e-mail bombaları vb) kurum
bünyesinde oluşturm ak ve dağıtmak yasaktır.
19.3.4. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistem den
kaldıram az ve başka bir antivirüs yazılım ını sisteme kuramaz.
19.4. İnternet ve Ağ Kullanım -Erişim Politikası
19.4.1. Hiçbir kullanıcı eş bilgisayarlar arası (peertopeer) bağlantı yoluyla yani bir başka
kullanıcının bilgisayarı ile doğrudan dosya alış verişi yapm ayacak, bu paylaşım a
izin veren herhangi yazılım kullanmayacaktır. (Örnek yazılımlar: Kazaa,eDonkey,
Gnutella, N apster, Aimster, M adster, FastTrak, A udiogalaxy, M FTP, eMule,
Ovem et, NeoM odus, Direct Connect, Asquisition, BearShare, Gnucleus, GTKGnutella, LimeW ire, M actella, M orpheus, Phex, Qtella, Shareaza, OpenNapvb)
19.4.2. U zaktan erişim için yetkilendirilm iş kurum çalışanları veya kurum un bilgisayar
ağm a bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit
sorum luluğa sahiptir.
19.4.3. B ilgisayarlar arası ağ üzerinden resmi görüşm eler haricinde ICQ, M IRC,
M essenger vb. m esajlaşm a ve sohbet (chat) program ları kullanılm am alıdır. Bu
sohbet programları üzerinden dosya alışverişinde bulunulmam alıdır.
19.4.4. Hiçbir kullanıcı internet üzerinden M ultim edia Stream ing (video, mp3 yayını ve
iletişim i)yapm ayacaktır.
19.4.5. Ç alışm a saatleri içerisinde aşırı bir şekilde iş ile ilgili olm ayan sitelerde gezinmek
yasaktır.
19.4.6. İş ile ilgili olm ayan (M üzik, video dosyaları) yüksek hacimli dosyalar göndermek
(upload) ve indirm ek (download) yasaktır.
19.4.7. İnternet üzerinden kurum tarafından onaylanm am ış yazılım lar indirilem ez ve
kurum sistemleri üzerine bu yazılım lar kurulamaz.
19.4.8. B ilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli
ve dosya indirimi yapılmamalıdır.
Osmangazi / BURSA
0224 295 60 00
*
İ
i
)
BURSA İL SAĞ LIK M ÜD ÜR LÜ Ğ Ü
^B U R SA
T L S M f» i. M
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
| REV.NO |
SAYFA NO :19/21
19.4.9. Ü çüncü şahısların kurum içerisinden interneti kullanım ları Sağlık Bilgi Sistemleri
Şubesi Bilgi İşlem Birim Sorum lusunun izni ve bu konudaki kurallar dâhilinde
gerçekleştirilebilecektir.
19.4.10. Bilgisayar işletim sistem lerine zarar verdiği için internet üzerinden ekran
koruyucu, yam alar, m asaüstü resim leri, yardım cı, tam ir edici program olduğu
belirtilen araçlar gibi her türlü dosya ve program ların indirilmesi ve/veya
kurulması yasaktır.
19.4.11. Sağlık Bilgi Sistemleri Şubesi Bilgi İşlem Birimi, iş kaybının önlenmesi için
çalışanların internet kullanım ı hakkında gözlem lem e ve istatistik yapabilir.
19.4.12. Erişim C ihazları (A ccess Point) ve bilgisayarlara bağ lan an b ü tün erişim
cih azların ın ve alt arab irim kartların ın (örnek, PC C ard) B ilgi İşlem birim i
tarafın d an kayıt altına alınm ası g erekm ektedir. E rişim cihazları periy o dik
olarak g ü v en lik te stlerin d e n g eçirilm elid ir.
19.5. Genel Kullanım Politikası
19.5.1. Bilgisayar başından uzun süreli uzak kalınması durum unda bilgisayar kilitlenmeli
ve 3.şahısların bilgilere erişimi engellenm elidir.
19.5.2. Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. İşletim
sistemi şifreleri ak tif hale getirilmelidir.
19.5.3. Kurum da domain (çalışm a alanı) yapısı varsa m utlaka login (oturum açılmalıdır)
olunm alıdır. Bu durumda, dom ain’ e bağlı olm ayan bilgisayarlar yerel ağdan
çıkarılm alı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi
yapılmamalıdır.
19.5.4. Laptop bilgisayarın çalınm ası/kaybolm ası durum unda en kısa sürede Sağlık Bilgi
Sistemleri Şubesi Bilgi İşlem Birimine haber verilmelidir.
19.5.5. Bütün kullanıcılar kendi bilgisayarlarının güvenliğinden sorumludur. Açık
bırakılm ası halinde ve ya kullanıcı oturum şifrelerinin ikinci şahıslarca biliniyor
olması durum larında bu bilgisayarlardan kaynaklanabilecek, kurum a veya kişiye
yönelik saldırılardan (Örneğin; elektronik bankacılık, hakaret-siyaset içerikli mail,
kullanıcı bilgileri vs.) bilgisayarın sahibi sorumludur.
19.5.6. Kurumun bilgisayarları kullanılarak taciz veya yasadışı olaylara karışılmam alıdır.
19.5.7. Ağ güvenliğini (Örneğin; bir kişinin yetkili olm adığı halde sunuculara erişm ek
istemesi) veya ağ trafiğini bozacak (packetsniffing, packetspoofing, denial o f
service vb.) eylemlere girişilmemelidir.
Osmangazi / BURSA
0224 295 60 00
^
BURSA
ıc fjîii
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
REV.NO
SAYFA NO :20/21
19.5.8. Ağ güvenliğini tehdit edici faaliyetlerde bulunulm am alıdır. DOS saldırısı, port
network taraması vb. yapılmamalıdır.
19.5.9. Kurum bilgileri kurum dışından üçüncü kişilere iletilmem elidir.
19.5.10. Cihazlar, yazılım lar ve veriler izinsiz olarak kurum dışına çıkarılmamalıdır.
19.5.11. Port veya ağ taraması yapılmam alıdır.
19.5.12. Yetkisi olm ayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya
elde etmesi yasaktır.
19.5.13. Kullanıcıların kişisel bilgisayarları üzerine Sağlık Bilgi Sistemleri Şubesi Bilgi
İşlem Biriminin onayı alınm aksızın herhangi bir çevre birimi bağlantısı
yapılmam alıdır.
19.5.14. Kurum un kullanm akta olduğu yazılım lar hariç kaynağı belirsiz olan programlar
(Dergi C D ’leri veya internetten indirilen program lar vs.) kurulm am alı ve
kullanılm am alıdır.
19.5.15. Kurumsal veya kişisel verilerin gizliliğine ve m ahrem iyetine özel önem
gösterilmelidir. Bu veriler, Kurum um uzun bu konudaki ilgili m evzuat hükümleri
saklı kalmak kaydıyla elektronik veya kâğıt ortam ında üçüncü kişi ve kurum lara
verilemez.
19.5.16. Personel, kendilerine tahsis edilen ve kurum çalışm alarında kullanılan masaüstü
ve dizüstü bilgisayarlarındaki kurumsal bilgilerin güvenliği ile sorumludur.
19.5.17. Bilgi İşlem Birimi tarafından yetkili kişiler kullanıcıya haber verm ek kaydı ile
yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım
işlemleri yapabilir. Bu durum da uzaktan bakım ve destek hizm eti veren yetkili
personel bağlanılan bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez,
kopyalayam az ve değiştiremez.
19.5.18. Bilgisayarlarda oyun ve eğlence amaçlı program lar çalıştırılm am alı/
kopyalanm am alıdır.
19.5.19. Bilgisayarlar üzerinde resmi belgeler, program lar ve eğitim belgeleri haricinde
dosya alışverişinde bulunulmam alıdır.
19.5.20. K urum da Bilgi İşlem Biriminin bilgisi olm adan Ağ Sistem inde (W eb Hosting,
E-posta Servisi vb) sunucu niteliğinde bilgisayar ve cihaz bulundurulmam alıdır.
19.5.21. Birimlerde sorumlu Bilgi İşlem personeli ve ilgili teknik personel bilgisi dışında
bilgisayarlar üzerindeki ağ ayarlarları, kullanıcı tanımları, kaynak profilleri vs.
üzerinde m evcut yapılm ış ayarlar hiçbir surette değiştirilm em elidir.
Osmangazi / BURSA
0224 295 60 00
*
(1 )
DOK. KODU
| SBS.B.G.POL.Ol
REVİZYON TARİHİ
|
% BURSA.
REV.NO |
SAYFA NO :21/21
19.5.22. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisansız
yazılım ı bilgisayarında barından personel ilgili m evzuat çerçevesinde kendisi
sorumludur.
19.5.23. G erekm edikçe bilgisayar kaynakları paylaşım a açılmamalıdır, kaynakların
paylaşım a açılması halinde de m utlaka şifre kullanm a kurallarına göre hareket
edilmelidir.
19.5.24. Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından
müdahale edilmem eli, ivedilikle Bilgi İşlem Birimine haber verilmelidir.
20. FO RM LAR
20.1. İşten Ayrılış Onay Formu
20.2. İhlal Bildirim Formu
HAZIRLAYANLAR
KONTROL EDEN
ONAYLAYAN
Bilgi Güvenliği Sorumluları
İl Performans ve Kalite J£opTd.
11 Sağlık Müdürü
Dr. Ofta ın AKAN
Cemal BUTEKIN
Zekayi KOTAN
Dr. Abidin SAGLtAM
Sağ. Mem,
BilgisayarM üh.
Sağ. M ü d y / r d .
" İ"
r
)
Â
t f '
/
Osmangazi / BURSA
f
0224 295 60 00

bilgi güvenliği politikası - Bursa İl Sağlık Müdürlüğü

Transkript

Benzer belgeler

gözde aslan-uluslararası ilişkiler

Turkish Version

Bursa Büyükşehir Belediyesi 3 Boyutlu Kent Rehberi

Muzaffer Şenol Turan SATIŞ UZMANI İletişim Bilgileri E-Posta

File