BİLGİ GÜVENLİĞİ

Genel Bilgi
Adı * :
Soyadı * :
Telefon * :
Eposta :
Departmanı :
Tarih :
Olay Ayrıntıları
Önem Derecesi (İlgili Kutucuğu İşaretleyiniz) : Düşük
Orta
Yüksek
Kritik

Olay Tanımı (İlgili Kutucuğu İşaretleyiniz) : Yetkisiz Giriş
Yazılım Arızası
Virüs / Solucan / Trojan
Web Sitesi Hack Edilmesi
Tehdit / Eposta Bombardımanı
Copyright Usülsüzlüğü
Fraud / Spam
Müstehcen ve Çirkin Mesaj Gelmesi
Güvenlik Açıklarından Faydalanma
Diğer
Diğer ise Olay Açıklaması :


BİLGİ GÜVENLİĞİ YONETİM SİSTEMİ (BGYS)POLİTİKASI

           BGYS politikası, T.C. Sağlık Bakanlığı Yalova Devlet Hastanesi bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir dokümandır. Bu politikada tüm bölümleri ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.

1.  AMAÇ

           Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği yönetim sistemimizde PUK (Planla, Uygula, Kontrol Et, nlem Al) sürekli iyileştirme döngüsü çerçevesinde bir süreç olarak uygulanmaktadır.

           Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten, insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti bu politikada verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır. Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst dokümandır.

          Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden geçirilmektedir.

2.  KAPSAM

            Hastanemizin içerisinde bulunan tüm birimleri ve personellerini, hastanemizin dışarıdan hizmet alımı yoluyla işlerinin yapılmasından sorumlu firmalar ve personellerini kapsar.

 

3.TANIMLAR VE KISALTMALAR

 

4.  BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ

           Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve erişilebilirlik prensiplerine uyacak önlemler almak amacıyla aşağıda detayları belirtilen risk yönetimi faaliyetleri yürütülmektedir. Her bir varlık için risk seviyesinin kabul edilebilir risk seviyesinin altında tutmak hedeflenmektedir.

           Risk yönetimi ve kontrollerin uygulanması sürekli bir faaliyettir ve kabul edilebilir risk seviyesinin altına inen riskler için de iyileştirme yapılması hedeflenmektedir.

 

 

 

 

 

 

 

 

 

 

 

 

5.  BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU

5.1.BGYS TAKIMI VE YETKİLERİ 

          Sağlık Bakanlığı  (kurum adı yazılacak)  bünyesinde bu politika metninde madde 1.2 de tarif edilen kapsam dâhilinde BGYS KOMİSYONU kurulmuştur.

BGYS KOMİSYONU

 Dr.Yıldırım TEMİR               Başhekim Yrd.

Yasemin OZTÜRK                 Sağlık Bakım Hiz.Md.

Hüseyin GÜLER                     İdari ve Mali İşler Müdürü V.

Şerafettin AKÇAY                  İdari ve Mali İşler Md.Yrd.  

Seval OZDEN                         Kalite Yönetim Direktörü

Haluk BİLİCİ                          Bilgi İşlem Sorumlusu

 

BGYS Komisyon Başkanı Görev, Yetki ve Sorumlulukları:

- Bilgi Güvenliği konularının altyapısını oluşturacak projeler hazırlanmasını sağlamak.

-Çalışmaların yürütülebilmesi için gerekli komisyonları, çalışma gruplarını oluşturmak ve görev tanımlarını yapmak.

- BGYS Komisyonuna başkanlık etmektir.

-Yalova Devlet Hastanesi bünyesinde verilen hizmetleri yasal mevzuat iş gerekleri ve gereksinimlerine uygun olarak uluslararası standartlar seviyesinde bir hizmet kalitesini yakalamak amacıyla Sağlıkta Hastane Hizmet Kalite Standardı,  Kurumsal Bilgi Güvenliği Mimarisi gibi konuların gerekliklerinin yerine getirilmesi için gerekli çalışmaları yapmak.

-BGYS Komisyonundan gelen istek ve talepleri değerlendirmek projelerin dayandırıldığı standartlar çerçevesinde onay vermek.

-Projelerde referans alınan standartların temel gereksinimlerinden olan Bilgi Güvenliği Yönetim Sistemi gerekliliklerini oluşturmak ve yönetmek.

-Yönetim Sistemi dokümantasyonlarının hazırlanmasına rehberlik etmek ve hazırlanan dokümanları onaylamak.

- Üst yönetim onayı gerektiren dokümanların üst yönetim tarafından onaylanmasını sağlamak.

-Çalışmaların yürütülebilmesi için T.C.  Sağlık Bakanlığı Genel Müdürlükleri ve  diğer  birimleri  ile  taşra teşkilatı ve yüklenici firmalara yönelik gerekli tüm resmi yazışmaların yapılmasını, izinlerin alınmasını sağlamak ve onaylamak.

-Projelerin yürütülebilmesi için gerekli olan yönetim hizmetleri çerçevesinde ihtiyaçların temin edilmesinin sağlanması.

-T.C. Sağlık Bakanlığına bağlı birimlerde ve taşra teşkilatlarında yürütülecek olan uluslararası düzeyde belgelendirme faaliyetlerinin işlerliğini gözden geçirmek için gerekli denetim ekiplerini oluşturmak ve denetimlerin yapılmasını sağlamak.

 

 

 

 

 

 

 

 

 

 

-Yapılan çalışmalarla ilgili üst yönetime ve BGYS Komisyonuna rapor sunmak ve bilgilendirme toplantıları

düzenlemek.

- Yönetim sistemi gerekliliklerinden olan Yönetim Gözden Geçirme, İç Denetim, Farkındalık Eğitimleri gibi

faaliyetlerin gerçekleşmesini sağlamak.

- Yapılan çalışmalar doğrultusunda yapılacak olan belgelendirme dış denetimlerini  ( Belgelendirme ve ara

denetimler) organize etmek.

-Projelerin daha verimli bir şekilde yürütülebilmesi için BGYS Birim personelinin kişisel gelişimleri için

gerekli görülen eğitimleri düzenlemek ya da dış taraflarda düzenlenmiş eğitimlere gönderilmesini sağlamak konu ile ilgili tüm yasal izin ve finansal kaynağın sağlanmasını organize etmek.

BGYS Komisyonu Görev, Yetki ve Sorumluluklar:

-  BGYS Komisyonu BGYS Yönetim Temsilcisi tarafından oluşturulur, kurum yöneticisi tarafından onaylanır.

-  BGYS Yönetim Temsilcisi bu komisyona başkanlık eder.

-  Bilgi Güvenliği konularının altyapısını oluşturacak projelerin yürütülebilmesi için gerekli onay vermek.

-  T.C. Sağlık Bakanlığına bağlı diğer birimlerde ve tüm taşra teşkilatında uygulanması gereken Bilgi

Güvenliği politikaların geliştirilmesi için hazırlanan projelere katkı sunmak.

-  BGYS yönetim temsilcisi ve BGYS birimi tarafından gerekli görüldüğünde toplantılara katılmak.

-  Kapsam kararları, risk değerlendirme metodolojisi, kontrollerin uygulanması konularında onay vermek ve

bağlı oldukları birimlerde uygulanmasını sağlamak.

-  BGYS birimi tarafından hazırlanan projelerin gerekliliği olan,  birim çalışanlarının,  danışmanların ve

Yüklenici firma personellerinin farkındalık düzeylerinin artırılmasına yönelik organize edilen çalışmaların

tüm tabana yayılması için gerekli desteği vermek.

 

BGYS YGG (BİLGİ GÜVENLİĞİ Y NETİM SİSTEMİ Y NETİM G ZDEN GEÇİRME)TOPLANTILARI

            BGYS biriminin ve üst yönetimin bilgi güvenliğinin uygunluğunu, verimliliğini, risk yönetiminin işlevselliğini, tetkik sonuçlarını, düzeltici ve önleyici faaliyetleri ele aldığı yılda en az bir defa düzenlenen bir toplantıdır. Bu toplantıda yönetim risk kabul kriterlerini ve kaynak ihtiyaçlarını değerlendirir. Çalışmaların,  risk değerlendirme ve işleme faaliyetlerinin verimliliğini inceler.

            Bu toplantılarda standarda göre girdi ve çıktılar Toplantı Tutanağı Formu kullanılarak kayıt altına alınmaktadır.

6.  RİSK Y NETİMİ

6.1.Risk Analizi ve Yönetim Stratejisi

           Risk analizi için aşağıdaki metot uygulanmaktadır. Bu faaliyetle ilgili kayıtlar risk değerlendirme raporunda tutulmaktadır. Kapsam dâhilinde ki ve bilgi ile ilişkisi olan her varlığın tespiti için varlık keşif çalışması yapılır. Varlık envanteri ile her kullanıcının sahip olduğu (kullandığı ve yönettiği) varlıklar tespit  edilir ve varlıkların sorumluları atanır.

       Risk analizi çalışması Tehdit Olasılığı ve İşe etkisi boyutlarında değerlendirilecektir. Risk hesaplama formülü kullanılarak her bir varlık için var olan risk değeri hesaplanır. Risk takip tablosunda tanımlanan her bir risk için 6 aylık risk durum değerlendirmeleri yapılarak son durum hesaplanır. Risk değerleri için Risk Değerlerine Göre İşleme Seçeneklerinden uygun olanı seçilir. Kontroller ISO 27001:2005 in Ek-A maddesinden seçilerek uygun olanlar her bir riske atfedilir. Kontrolün nasıl uygulanacağı, kim tarafından uygulanacağı Risk İşleme Takip Tablosunda izlenir. 6 Aylık periyotlarla risk işleme faaliyetlerinin durumu varlık sahiplerinin de katıldığı BGYS komisyonunda değerlendirilir.

 

 

 

7.  BİLGİ HASSASİYETİ VE RİSKLER

7.1.Bilgi Varlıklarımız

          T.C. Sağlık Bakanlığı Yalova Devlet Hastanesi bünyesinde Madde 1.2 de belirtilen kapsam dâhilinde yer alan tüm fiziki alanlarda bulunan birimlerin yapmış oldukları işlerde üretilen bilgiler bilgi varlıklarımızı oluşturmaktadır.

          Masaüstü bilgisayarlar, laptoplar, CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak dolapları,

sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında (internet, email, telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır.

7.2. Varlık Sınıflandırılması

 BİLGİ SINIFLANDIRMA KLAVUZU

  Saklama Yeri Dolap

 Gizli

En kritik bilgilerdir, sadece yönetim         kadrosunun erişimi vardır. Bu tür bilgilerin

yetkisiz erişilmemesi, ifşa edilmemesi veya paylaşılmaması kurum açısından çok önemlidir. Gizlilik ön plandadır.

 

 

 

 

 

 

 

 

İç Kullanım

Sadece birimlere özel bilgilerdir. Departman çalışanları dışında hiçbir 3. taraf kurumun veya kişinin görememesi gereken bilgilerdir. Gizlilik ön plandadır.

Departmanın kilitli dolapları, kişisel bilgisayarlar

Kişisel

 

Birim çalışanlarının kişisel çalışmaları ile ilgili bilgilerdir. Kurum işlevleri için yapılan kişisel çalışmalar burada tutulabilir. PC, laptop veya dolaplarda işle ilgili olmayan diğer kişisel bilgiler tutulamaz. Erişilebilirlik ön plandadır.

Çalışma masalarının kilitli çekmeceleri.

Kuruma Açık

 

Bu bilgiler kurum çalışanlarının kullanımı içindir. Erişilebilirlik ve bütünlük ön plandadır. Departmanların kendi aralarında paylaştıkları bilgiler bu sınıfa girer.

Departmanın kilitli ortak dolapları

 

Halka Açık

 

Bu bilgiler T.C. Sağlık Bakanlığı na bağlı tüm teşkilatına, tedarikçilere ve halka açık bilgilerdir. Bu bilgilerin erişilebilirliği önemlidir.

Dolaplar ve dolap dışlarında

 

       Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi ürettiği bilgileri sınıflandırmalıdır. Bu sınıflandırmaya göre halka açık dokümanlar web sitesinde yayınlanan ve işlem için üçüncü taraflara verilen kağıt veya elektronik ortamdaki başvuru formu, duyurular vb. bilgilerdir.

 

8.  BİLGİ GÜVENLİĞİ POLİTİKA, PROSEDÜR VE KILAVUZU

         BGYS Politikası kurumumuzca yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi kontrol ve risk yönetimi amaçları çerçevesinde adresler.

 

 

 

 

 

8.1.Bilgi Güvenliği Sözleşmeleri

         Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak kurum politikalarına uyacaklarını taahhüt ederler.Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe alınan her çalışanın (PC kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir.

 

9. BİLGİ GÜVENLİĞİ EĞİTİMLERİ

         Yıllık olarak planlanan,eğitim faaliyet programı çerçevesinde bilgi güvenliği konusunda tüm personele eğitim verilmektedir.Ayrıca Sosyal mühendislik zafiyetleri engellemek ve sosyal medya güvenliğini sağlamak için gerekli eğitimler verilecektir.

 

10. DOKÜMAN ve KAYITLARIN KONTROLÜ

          BGYS ile ilgili dokümanların hazırlanması, yayınlanmadan önce onaylanması, değişikliklerinin revizyonlarının takibi, gerekli noktalarda doğru versiyonun ulaşılabilir olması amaçlarını yerine getirecek Dokümantasyon Prosedürü hazırlanmıştır. Dokümanların kontrolü bu talimata uygun olarak yapılmaktadır.

 

11.BİLGİ GÜVENLİĞİ İÇ TETKİKLERİ

          Kurulan bilgi güvenliği yönetim sisteminin standarda ve tanımlanan politika ve prosedürlere  uygunluğunun tespiti için düzenli olarak gerçekleştirilecek iç tetkikler planlanmıştır. İç tetkiklerin nasıl

gerçekleştirileceği z değerlendirme Prosedüründe tanımlanmıştır ve bu prosedüre uygun olarak düzenli iç tetkikler yapılarak sistemdeki uygunsuzluklar tespit edilmektedir.

 

12.SÜREKLİ İYİLEŞTİRME VE DÜZELTİCİ- NLEYİCİ FAALİYETLER

            İç tetkiklerde, ihlal olaylarıyla veya personelin kendi gözlemleriyle tespit ettikleri uygunsuzlukların tespitinde ve standarda, politikalarımıza, prosedür ve kurallarımıza uymayan durumların tespitinde ortaya çıkan uygunsuzluğun nasıl giderileceği ve potansiyel uygunsuzlukların henüz ortaya çıkmadan önce nasıl önleneceğine ilişkin Düzeltici- nleyici İşlem Talimatı hazırlanmış ve uygulanmaktadır. Ayrıca web sistemi üzerinden bilgi güvenliği modülü ve ihlal bildirim formu yayınlanmıştır. Tüm personel bu faaliyetlere katılmakla sorumludur.