Kurumsal

Bilgi Güvenliği Politikası

1.                  AMAÇ

Bilgi Güvenliği Politikasının ana amacı; bilgi varlıklarını korumak, bilginin ve verinin gizliliğini sağlamak, bütünlüğünü bozmaya çalışacak yetkisiz kişilerin erişimini engellemek, ihtiyaç duyulan her alanda bilgiyi erişilebilir halde tutmak ve böylece Sağlık Bakanlığının güvenini ve itibarını sarsacak durumları bertaraf etmektir.

2.                  KAPSAM

Bu politika, Hastane Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

3.                  DAYANAK

·                    21.06.2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik (Yönetmelik)

·                    02.05.2018 tarihli ve 98813799.719.54 sayılı Bakanlık Makam onayı ile yürürlüğe giren Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi (Yönerge)

·                    Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzu (Sürüm 2,1) (Kılavuz)

·                    Sağlık Bakanlığı Kurumsal SOME Kurulum ve Yönetim Rehberi (Rehber)

·                    Cumhurbaşkanlığı tarafından yayımlanan 2019/12 sayılı “Bilgi ve İletişim Güvenliği Tedbirleri” hakkında genelge.

4.                  KISALTMALAR

BGYS: Bilgi Güvenliği Yönetim Sistemi

5.                  TANIMLAR

         Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi güvenliği politikası  BGYS’nin en kritik öğesidir. Bir güvenlik politikası, verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için bilgi kaynaklarına erişen herkesin uyması gereken asgari kuralları tanımlar. Ayrıca, kurumun bilgi güvenliği bakış açısını yansıtır, güvenlik sorumluluklarını tanımlar ve bilgi güvenliği olaylarına müdahale yaklaşımını ortaya koyar. Kurumsal bilgi güvenliği politikasının geliştirilmesi kurumsal hafızaya sahip çalışanlar, bilgi güvenliği uzmanları ve yönetimin ortak çalışması ile yapılır. Bilgi güvenliği politikasının bilgi güvenliği hedefleri, stratejik hedefler ve hizmet kapsamı ile uyumlu olması gerekir.

       Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:

Gizlilik: Bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.                                                         

Bütünlük: Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmamasıdır.

Kullanılabilirlik: Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir

6.  BİLGİ GÜVENLİĞİ ORGANİZASYONU

6.1 Bilgi güvenliği ve siber olaylara müdahale ile ilgili konularda en üst düzeyde koordinasyon ve karar organı olarak görev yapmak üzere, Bilgi Güvenliği Yönetim Komisyonu kurulu oluşturulur.

6.2 Çalışma grupları oluşturulurken konunun özelliği dikkate alınarak farklı disiplinlerden personel bulundurulur.

6.3 Komisyon, başhekimin çağrısı üzerine yılda en az bir kere toplanır. Gerekli görülen durumlarda başhekim komisyonu her zaman toplantıya çağırabilir.

6.4 Toplantıda kararlar oy çokluğu ile alınır. Oyların eşitliği halinde başhekimin kullanmış olduğu oy esas alınır.

7.  POLİTİKA METNİ

·                    Ankara ISM bilgi güvenliği modeli, Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzuna dayanır ve kurumsal bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini sağlamak için operasyonel ve yönetsel çerçeveyi sunar.

·                    Tüm personel, faaliyetlerini dayanak kısmında belirtilen mevzuat ve başta bu politika olmak üzere üst yönetim tarafından belirlenen bilgi güvenliği politikalarına uygun şekilde yürütmekten sorumludur.

8.  İLKELER

Hastane bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:

8.1    Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde hastaneye ait bilginin gizliliğini sağlamalı,

8.2    Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, belirlenen güvenlik önlemlerini almalı,

8.3    Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi Güvenliği Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemler almalıdır.

8.4    Hastane içi bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.

8.5    Hastane bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.

8.6    Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür

Ø  Roller ve Sorumluluklar;

·                    İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle kapsam dahilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.

·                    Bilgilerin bütünlüğü her durumda korunacaktır.

·                    Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.

·                    Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.

·                    Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel ya da elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.

·                    Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınacaktır.

·                    Tüm çalışanlarımız bütün faaliyetlerde “bilmesi gereken” prensibine göre bilgilendirilecek olup, elektronik ortamda da “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır.

·                    Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını sağlayacaklardır.

Ø  Politika İhlali ve Yaptırımlar;

Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki yaptırımlardan bir ya da birden fazla maddesi uygulanabilir:

• Uyarma,

• Kınama,

• Aylıktan Kesme,

• Kademe İlerlemesinin durdurulması,

• Para cezası,

• Sözleşmenin feshi,

İşbu “Bilgi Güveliği Politikası” hastane yönetimince onaylanmasının ardından yürürlüğe girer ve hastane personelince uyulması gereklidir.

9. İLGİLİ DOKÜMANLAR

9.1 Bilgi Güvenliği Politikaları Yönergesi

9.2Kişisel Sağlık Verileri Hakkında Yönetmelik

9.3 Kurumsal SOME Kurulum ve Yönetim Rehberi  

9.4 Bilgi Güvenliği Politikaları Kılavuzu

9.5 Kurumsal SOME Kurulum ve Yönetim Rehberi

9.6 Bilgi ve İletişim Güvenliği Tedbirleri” hakkında genelge.

 


25 Aralık 2023