1. Giriş
Bu dokümanda, iş ortamının güvenliğinin sağlanması için yapılması gerekenler ve sorumluluklar tanımlanmıştır. Bilgi Güvenliği Politikası, bilgi güvenliği ile ilgili konularda yapılacak çalışmalara ilişkin, yönetim tarafından çizilen genel bir çerçeveyi içermektedir.
2. Amaç
Bilgi Güvenliği Politikası ile, Kurumun bilgilerin saklanması ve erişimine ilişkin kuralların tanımlanması amaçlanmıştır.
Kurumun bilgileri,
• Sadece iş ihtiyaçları doğrultusunda yetkilendirilmeli,
• Sadece yetki verilen amaçlarla kullanılmalı,
• Gizlilik derecelerine göre korunmalı,
• Kaybolma, çalınma gibi risklerden korunmalıdır.
Güvenlik Politikası’nda ayrıca Kurumun bilgileri gizlilik derecelerine göre sınıflandırılmış ve bu sınıflamada kullanılan kriterler tanımlanmıştır. Ayrıca, bilginin üretimi, saklanması, kullanımı ve imha edilmesi sürecini içeren bilgi yönetimi konusundaki işlevsel roller tanımlanmıştır. Son olarak, politika gereklilikleri değişik başlıklar altında belirtilmiştir.
3. Kapsam
Bilgi Güvenliği Politikası, Kurumun tüm çalışanlarına, yüklenicilere, tedarikçilere ve Kurumla çalışan üçüncü kişilere uygulanır.
Bilgi Güvenliği Politikası Kurumun manuel ve elektronik sistemlerinin tamamını kapsar. Aşağıdakilerle sınırlı olmaksızın ve saklandığı formata bakılmaksızın, bütün bilgileri ele alır:
• Bilgisayar dosyaları ve veritabanları
• Veri saklama ortamları
• Bilgisayarlarda üretilen raporlar
• Bilgisayar uygulamaları ve ilgili dokümanlar
• E-mail mesajları
• Veri iletimi araçları
4. Uygunluk
Bilgi Güvenliği Politikasına ve ilgili yasal mevzuata uymak zorunludur. Her kullanıcı bilgi güvenliği konularındaki rolünü ve sorumluluklarını bilmek zorundadır.
Kurum bilgilerinin gizliliğini, bütünlüğünü veya elverişliliğini tehlikeye düşürecek şekilde bu politikaya aykırı davranışlarda bulunanlar hakkında, İş Kanunu ve Özel Kolmed Hastanesi Personel Yönetmeliği hükümlerine göre, iş akdini feshe kadar varabilen disiplin işlemleri başlatılır.
Bilgi Güvenliği Politikasına uymayan durumlar Bilgi Güvenliği Yöneticisine yönlendirilmelidir. Bilgi GüvenliğiKomitesi istisna taleplerini kabul ya da reddetmeye yetkilidir.
5. Güvenlik Politikası Sahipliği ve İdamesi
Bilgi Güvenliği Yöneticisi, herhangi bir güncellemenin gerekli olup olmadığını belirlemek için dokümanı enazından yılda bir kez gözden geçirir. Tüm kurum personeli politika değişikliği önerisinde bulunabilir. Ancak,sadece Bilgi Güvenliği Komitesi tarafından onaylanan değişiklikler uygulanabilir.
6. Bilgilerin Sınıflandırılması
Önemli bilgilerin yetkisiz kişilerin eline geçmesi Kurumun:
• Prestijini zedeleyebilir.
• Rekabet gücünü zayıflatabilir.
• Maddi zarara uğramasına sebep olabilir.
• Personelini maddi ve manevi zorluklarla karşı karşıya bırakabilir.
• Sistemlerinin güvenliğini ve bütünlüğünü tehlikeye düşürebilir.
Bilgilerin önemi, kaybolma ya da tehlikeye düşme riskine göre üç sınıflandırma seviyesi belirlenmiştir:
Genel
İç Kullanıma Özel
Gizli
Genel Bilgiler
Genel Bilgiler, Kamuya Açıklanmasında sakınca olmayan, Kurum içi ve Kurum dışı herkese açık bilgilerdir. Basın Bültenleri, Broşürler, Kurum Internet sitesinde yer alan bilgiler bu bilgi sınıfına verilebilecek örneklerdir.
İç Kullanıma Özel Bilgiler
Kurumun hastanecilik Uygulamalarında yetkilendirme bazında bütün ya da çalışanına açık acık olan bilgiler, bütün çalışanlarına açık politikalar, prosedürler, el kitapları vb. dokümanlar ve Kurum internet sitesinde yer alan bilgiler bu bilgi sınıfında değerlendirilir.
Gizli Bilgiler
Gizli Bilgiler, açıklanması kurumu zarara uğratabilecek, prestij kaybına sebep olabilecek bilgilerdir. Hasta kredi kartı bilgileri, tanı ve tedavi detayları bu bilgi sınıfına örnek olarak verilebilir. Bu bilgiler KVKK kapsamında hassas nitelikli veri olarak nitelendirilmektedir.
7. İşlevsel Roller
Bu belgede tanımlanan roller, doğaları gereği işlevsel olup, rollerden bir ya da birkaçı aynı kişi/ler tarafından icra edilebilir.
Bu rollerin nasıl icra edileceğine karar vermek Kurum yönetiminin ve bilgi sahiplerinin sorumluluğudur
Bilgi Güvenliği Yöneticisi
Bilgi Güvenliği Yöneticisi’nin görevlerine aşağıda yer verilmiştir.
• Bilgi Güvenliği Politikasının uygulanması, geliştirilmesi, izlenmesi ve uygulatılmasının sağlanmasından sorumludur.
• Kurumun Bilgi Güvenliği Politikası ve Standartlarına uymayan istisnaları kabul ya da reddeder ve bu istisnalarıBilgi Güvenliği Komitesine rapor eder.
• Bilgi Güvenliği Politikası ve Standartlarına uyum sağlanmasını kolaylaştırmak için yol göstermek ve liderlik yapmakla sorumludur.
• Gerekligüvenlikönlemlerininalınmasınısağlamak içinpolitika ve standartlar önermekle sorumludur.
• Tüm güvenlik ihlallerini araştırmakla sorumludur.
Bilgi Güvenliği Komitesi
Bilgi Güvenliği Komitesi, Bilgi Güvenliği Yöneticisi’nin rolünü tamamlar. Komite Güvenlik Standartlarına gelen değişikliklerin kabul ya da reddedilmesinden sorumludur. Bilgi Güvenliği Komitesi; Bilgi Güvenliği Yöneticisi ,Bilgi Sistemleri Müdürü ve Kişisel Verileri Koruma ekibinden oluşur.
Sistem Güvenliği Operasyon İşlevi
Sistem Güvenliği Operasyon işlevi, sistem ve temel hastanecilik uygulamaları için bütün kullanıcıların tanımlanması, şifrelerinin belirlenmesi, ve sistem kaynaklarına (temel hastanecilik uygulamaları ve raporları hariç) erişim haklarının verilmesinden oluşur.
İnsan Kaynakları
İnsan Kaynakları, geçici ve dışarıdan da çalışanlar dahil olmak üzere, Kurumda görevlendirilen tüm çalışanların bilgilerinin saklanmasından, yönetiminden ve değiştirilmesinden sorumludur. İnsan Kaynakları, Sistem Güvenliği Operasyonu işlevini yerine getirenlere, kullanıcı kimlikler in in belirlenebilmesi, değiştirilmesi veya iptal edilmesi için yeni işe alınan, nakledilen ve işten ayrılan personel hakkında bilgi vermekten sorumludur.
Bilgi Sahipleri
Bütün Kurum bilgileri için bilgi sahipleri belirlenmelidir. Bilgi sahiplerinin sorumlulukları şunlardır
• Bilginin sınıfını uygun biçimde tanımlamak ve bu tanımlamanın iş gereksinimlerin i sürekli olarak karşıladığından emin olmak için bilgi sınıfını periyodik olarak gözden geçirmek.
• Bilginin sınıfına uygun gerekli önlemlerin alınmasını ilgili BT Müdürlüğünden talep etmek.
• Bilgiye kimlerin erişebileceğini tanımlamak, erişim haklarını en azından yılda bir kere gözden geçirmek ve geçerli olduklarını teyit etmek.
Bilginin üretildiği veya kullanıldığı uygulamalarda yapılan değişiklikleri üretim ortamına aktarılmadan önce test etmek ve onaylamak
Bilgi Emanetçileri
Bilgi Emanetçileri; bilginin üretildiği, işlendiği, saklandığı ve taşındığı bilişim sistemlerini yöneten Bilgi Sistemleri Müdürlüğü’dür.
Bilgi Emanetçileri bilgilerin güvenliğiyle ilgili olarak aşağıdaki sorumlulukları taşırlar:
• Bilgi Güvenliği Politikasıile tutarlı bilgi güvenliği mekanizmaları oluşturmak ve sürekliliğini sağlamak.
• Uygun bilgi sınıflandırmasının yapıldığından emin olmak.
• Bilgi Güvenliği Yöneticisi ve teknik personelin bilgi güvenliği çalışmalarına ilişkin uygulayacağı süreçleri belirlemek.
• Uygun erişim yöntemlerini belirlemek ve uygulamak.
• Kritikverilerin yedeklenmesini, kopyalarınınişyeri dışındaki güvenlikli bir yerde saklanmasını sağlamak.
• Yedekleme ortamlarının ihtiyaç duyulduğunda çalışır durumda olmasını sağlamak.
Kullanıcı Yöneticileri
Kullanıcı yöneticileri kendi yönetimleri altındaki bütün çalışanlara verilen erişim haklarından sorumludur. Kullanıcı yöneticilerinin sorumlulukları arasında şunlar yer alır:
• Çalışanın statüsünde meydana gelen bir değişikliği, kullanıcı erişim haklarının veya ayrıcalıklarının değiştirilmesi için İnsan Kaynakları Departmanına, Bilgi Sistemleri birimine bildirmek,
• Güvenlik olaylarını derhal Bilgi Güvenliği Yöneticisi’ne rapor etmek.
• Güvenlik politika ve standartlarını bölüm içinde uygulamak
Son Kullanıcılar
Kurumun kaynaklarını korumak her kullanıcının sorumluluğudur. Dolayısıyla bu konuda kurumun geliştirdiğitüm politika, standart ve prosedürlere riayet etmekle yükümlüdür. Bu sorumluluğa ek olarak son kullanıcılarınaşağıdaki sorumlulukları bulunmaktadır.
• Kullanımlarına verilen şifrelerin gizliliğini sağlamak,
• Kurumun bilgilerini yalnızca yönetimin onayladığı amaçlarla kullanmak,
• Güvenlik olaylarını derhal yönetime rapor etmek.
Bilgi Sistemleri Teftişi
Kurum, Bilgi Sistemlerini, yılda en az bir defa mümkünse iç kaynaklarından yararlanarak, veya dış kaynaklı danışman ve denetçilerden yararlanarak denetime tabi tutmalıdır.
8. Politika Gereklilikleri
Sistemlerin İş Amaçlı Kullanımı
• Sistemler iş dışı amaçlarla kullanılmamalıdır. Sadece kurumun işlerinin yürütülmesi için kullanılmalıdır.
• Sistemler yetkili personel tarafından güvenlik veya bakım amaçlı düzenli veya düzenli olmayanaralıklarla izlenir.
İnternet / Elektronik Posta
Genel prensip olarak, Internet / E-Posta yalnızca iş amaçları için kullanılır. Internetin iş dışı amaçlarla kullanımı, kaynakların izin vermesi, çalışanın iş verimini etkilememesi ve Kurum çıkarlarıy la çatışmadığıdurumlarda mümkündür. Internet kullanımının teşvik edildiği alanlar şunlardır :
• Kurumun misyonuyla ve işiyle doğrudan ilgili haberleşmeler ve bilgi alışverişleri
• Çalışanların kişisel ve mesleki gelişimlerine katkı sağlayacak haberleşme ve bilgi alışverişleri
Dışarıya gönderilen e-postalar konusunda ise her e-posta’nın Kurum imajını yansıttığı dikkate alınmalı,Kurumun çıkarlarıyla çatışan herhangi bir amaçla e-posta kullanılmamalıdır.
Yazılım Lisansları ve Telif Hakları
• Kurum içinde kullanılan ve lisans gerektiren her türlü yazılım lisanslı olmalıdır.
• Lisanslı yazılımlar, lisans şartlarında açıkça izin verilmediği sürece kopyalanmamalı ve çoğaltılmamalıdır.
• Dışarıdan elde edilen kurum standartlarında yer almayan herhangi bir yazılım, lisanslı olsa da, lisansgerektirmeyen (free) yazılım olsa da bağlı olduğu birim yöneticisinin ve Bilgi Güvenliği Yöneticisi’nin onayıolmaksızın kurulmamalıdır.
Tanımlama ve Doğrulama
• Kurum’un bilgisayar sistemlerine, ağlarına ve ‘Gizli Bilgi’ sınıfına giren bilgilere erişim sadece kişilere tahsis edilen kullanıcı kodları ile yapılabilir. Herkes sadece kendi kullanıcı koduyla yetkili kılındığı kaynaklara erişebilir.
• ‘İç Kullanıma Özel’ sınıfına giren bilgilere erişim, kurum ağlarına erişim için kişiye tahsis edilmiş kullanıcı koduile mümkündür.
• Her kullanıcı koduyla birlikte şifre vb. bir kimlik doğrulama aracı kullanılmalıdır. Bütün kullanıcılar, kendikullanıcı kodlarıyla yapılan tüm işlemlerden sorumludur.
• Kullanıcı kodları ve şifreler kişiye özel ve gizli olup kesinlikle hiç kimseyle paylaşılmamalıdır.
Erişim Güvenliği
• Bilgilerin değeri, gizlilik seviyesi, kaybolma ve çalınma tehlikesi ve tekrar elde etme kolaylığıyla uyumlu olarak fiziki ve mantıksal erişim güvenliği mekanizmaları kullanılarak bilgiler korunmalıdır.
• Veri merkezleri, sunucuların bulunduğu odalar, kablo dolapları gibi önemli merkezlerin fiziki güvenliğisağlanmalıdır. Bu tip yerlere sadece yetki verilen kişilerin erişebilmesini sağlayacak süreçler oluşturularakuygulanmalıdır.
• Erişim güvenliğinden emin olmak için yılda 2 kez kullanıcı erişim hakları gözden geçirilmelidir. Bu gözden geçirme ile yetkisiz erişim bulunmadığı teyit edilmelid ir. Gözden geçirme e-mail ve vpn gibi dışarıya açıkortamları da kapsamalıdır.
• Uzaktan kurum kaynaklarına erişilmek istendiği takdirde, Bölüm Yöneticisi ve Bilgi Güvenliği Yöneticisinin onayı alınmalıdır. Uzaktan erişimde de kimlik ve şifre kullanılmalıdır. Kişiler kendi kullanıcı hesapları ile yaptıkları tüm işlemlerden sorumludur.
Ağ Güvenliği
• Kurumun ağlarına yapılacak bağlantıların, ağ üzerinde iletilen verilerin bütünlüğüne ve ağın kendisine herhangibir zarar vermeden yapılması gerekir.
• Üçüncü taraflar, kendilerine ait herhangi bir cihazı kurum ağına bağlayamaz. Üçüncü tarafların kurum ağındanbilgi talepleri ancak kurumdaki muhatap bölüm yöneticisinin ve Bilgi Güvenliği Yöneticisinin onayı alındıktan sonra, yine Bilgi Güvenliği Yöneticisi tarafından tespit edilen bir yöntemle karşılanır.
• Ağ üzerindeki verilerin izlenmesine imkan verecek teknoloji/ekipman/yazılım kullanılması, sadece güvenlik olaylarını izlemek amaçlı olarak mümkündür. Network yönetimi işlevini yerine getirenlerin ve Bilgi Güvenliği Yöneticisi’nin onayı olmaksızın, herhangi bir kurum donanımına veya ağına hiçbir donanım veya yazılım (hat izleme, modem, node, gateway, switch vb.) yüklenmemelidir.
Gizlilik
• Bütün kurum bilgileri, gizliliğin ve bütünlüğün korunması için yetkisiz erişimlere karşı korunmalıdır.
• Kurum tarafından üretilen ve saklanan bilgiler, türüne ve kullanımlarına bağlı olarak değişik derecelerdegüvenlik hassasiyetine sahiptir.
• Kurum sistemlerinde, kurumun işini sürdürebilmesi için gerçek ve tüzel kişilere ait kişisel bilgiler bulunabilir. Bubilgilerin gizliliğinin sağlanması birinci derecede öncelikli olup, tüm çalışanlar bu kişisel bilgilerin korunması içingerekli önlemleri almalıdır. Kişisel bilgilere erişen tüm çalışanlar bu bilgilerin gizliliğine özen göstermelidir.
• Kurum tarafından alınan ve saklanan tüm gerçek ve tüzel kişilere ait bilgiler her ne sebeple ve her ne şeklide olursa olsun, herhangi bir şekilde ya da herhangi bir yolla dağıtılamaz, basın yayın organları ve medyakuruluşlarıvasıtasıylaaçıklanamaz, reklam amacıyla kullanılamaz ve ifşa edilemez. Ayrıca görsel ya dayazılı medya aracılığıy la referans olarak gösterilemez ya da reklam aracı olarak kullanılamaz, verilen belgelerdenörnek alınamaz, bunlar çoğaltılamaz. Kurum ile gerçek ve tüzel kişiler arasındaki iş ilişkisinin sona ermesi hiç birşekilde bu yükümlülüğü ortadan kaldırmaz. Aykırı davranışlar halinde kullanıcının hukuki ve cezai sorumluluğudoğacaktır.
İmha
İç Kullanıma Özel ve Gizli olarak sınıflandırılan bilgileri içeren kullanım dışı kalmış fiziki veya elektronik ortamlar, bu bilgilerin herhangi bir şekilde yetkisiz kişilerin eline geçmesini önleyecek şekilde imha edilmelidir. Örneğin, sabit diskler gibi saklama ortamları imha edilmeden önce önemli bilgiler ve lisanslı yazılımların silinmişolduğundan emin olunması için kontrol edilmelidir.
Elverişlilik
• Kullanıcı işini yaparken ihtiyaç duyduğu anda yetkili ise gerekli bilgilere erişebilmelidir.
• Gizli sınıfına giren bütün bilgilerin, ihtiyaç duyulduğunda (bozulma veya erişilemem e vb.) gerialınabilmesi için uygun yedekleme süreçleri geliştirilmeli ve uygulanmalıdır.
• Yedekleme ve geri alma süreçlerinin kritik sistemler için beklenen şekilde çalıştığından eminolunması için uygun aralıklarla periyodik testler yapılmalıdır.
Virüs Koruması
• Kurum’un sistemlerine virüsler ve türevleri tarafından verilebilecek zararları önlemek için güncel anti-virüs uygulamaları kullanılmalıdır.
• Anti-virüs yazılımları düzenli olarak güncellenmeli ve tüm bilgisayarlarda ve dışarıdan alınan medyalardakullanılmalıdır.
Güvenlik İhlalleri Yönetimi
Kurumda meydana gelebilecek Güvenlik İhlalleri’ nin yönetimi Bilgi Güvenliği Komitesi tarafından sağlanacaktır.
