Kurumsal

Bilgi Güvenliği


Bilgi Güvenliği Olay Bildir

Bilgi Güvenliği

Güvenlik Raporlama Sistemi

        Son dönemlerde sosyal mühendislik  yöntemiyle Bakanlığımız çalışanlarının kurumsal hesaplarının ele geçirilmeye çalışıldığı; saldırganların, kurumun üst yönetiminde yer alan kişiler adına sosyal medya hesabı  açtığı, bu sahte sosyal medya hesabı üzerinden çalışanların EBYS/e-Posta  parolasını istediği tespit edilmiştir.


     Tüm personelin bu ve benzeri (telefonla, sosyal medya, eposta vb) sosyal mühendislik tuzaklarına karşı dikkatli olması ve böyle bir olay yaşanması durumunda hemen https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir adresinde yer alan ihlal bildirim sistemi üzerinden Genel Müdürlüğümüze bildirilmesi; kurumda çalışan bilgi işlem personeli ve yönetici pozisyonunda bulunan kişiler tarafından bizzat istense bile hiçbir şekilde parolanın paylaşılmaması gerekmektedir.

Bilgi Güvenliği Politikası

 


1.Tanım:


Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:


• Gizlilik                                                                                                                          

• Bütünlük

• Kullanılabilirlik


Bu kavramları biraz daha açacak olursak:


Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.

Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmamasıdır.

Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.


2.Kapsam:


Bu politika, Hastane Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.


3.Amaç:


Hastane yönetimi açısından;

• Hastanenin güvenilirliğini ve temsil ettiği makamın imajını korumak,

• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,

• Hastanenin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak

amacı ile bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.


4.İlkeler:


Hastane bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:

a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde hastaneye ait bilginin gizliliğini sağlamalı,

b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, belirlenen güvenlik önlemlerini almalı,

d) Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi İşlem Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemleri almalıdır.

e) Hastane içi bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.

f) Hastane bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.

Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür.


5. Roller ve Sorumluluklar;

           

a) İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle kapsam dahilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.

b) Bilgilerin bütünlüğü her durumda korunacaktır.

c) Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.

d) Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.

e) Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel yada elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.

f) Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınacaktır.

g) Tüm çalışanlarımız bütün faaliyetlerde “bilmesi gereken” prensibine göre bilgilendirilecek olup, elektronik ortamda da “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır.

h) Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını sağlayacaklardır.


6. Politika İhlali ve Yaptırımlar;


Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki yaptırımlardan bir ya da birden fazla maddesi uygulanabilir:


• Uyarma,

• Kınama,

• Aylıktan Kesme,

• Kademe İlerlemesinin durdurulması,

• Para cezası,

• Sözleşmenin feshi,


7. 
İşbu “Bilgi Güveliği Politikası” hastane yönetimince onaylanmasının ardından yürürlüğe girer ve hastane personelince uyulması gereklidir.

19 Nisan 2022