Bilgi Güvenliği Yönetim Sistemi Politikamız
16 Şubat 2020


 

BALIKESİR İL SAĞLIK MÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) POLİTİKASI

 

Kodu

Yayınlama Tarihi

Revizyon Tarihi

Revizyon No

Sayfa

İSM.BG.PO.01

23.01.2019

25.10.2019

2

1 / 1





  1. AMAÇ

    Bu politika; Balıkesir İl Sağlık Müdürlüğünde kullanılan bilgi varlıklarının gizliliği, bütünlüğü ve sadece yetki verilen kişilerce erişilebilirliğini sağlayarak, kurum bünyesinde çalışanların ve diğer ilgili tarafların uyması gereken bilgi güvenliği şartlarının çerçevesini çizmek amacıyla hazırlanmıştır.

  2. KAPSAM

    Bu politika; Balıkesir İl Sağlık Müdürlüğü hizmet sunumu sürecinde yer alan tüm bilgi sistemlerini, bilişim kaynaklarını, fiziksel bilgi varlıklarını, bilişim ağları ve altyapısını, uygulama yazılımlarını, veri tabanı sistemlerini, tüm bilgi işlenen platform ve süreçleri ve bu süreçlerde görev yapan personel ve tedarikçiler de dâhil tüm paydaşları kapsar.

  3. DAYANAK
  • 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik (Yönetmelik)
  • 02/05/2018 tarihli ve 98813799.719.54 sayılı Bakanlık Makam onayı ile yürürlüğe giren Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi (Yönerge)
  • Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzu (Sürüm 2.1) (Kılavuz)
  • Sağlık Bakanlığı Kurumsal SOME Kurulum ve Yönetim Rehberi (Rehber)
  • Cumhurbaşkanlığı tarafından yayımlanan 2019/12 sayılı “Bilgi ve İletişim Güvenliği Tedbirleri” hakkında genelge.
  1. TANIMLAR ve KISALTMALAR
  • Bilgi Güvenliği: Bilgi ve bilgi işleme tesislerinin emniyetli ve güvenilir olarak kullanılabilmesi, bütünlüğünün ve gizliliğinin muhafazası ve yetkisiz şahısların bilgiye ulaşmaları halinde tespit edilmelerine yönelik tedbirlerin tümüdür.
  • Bilgi Güvenliği İhlal Olayı: Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarıdır.
  • Bilgi Güvenliği Yönetim Sistemi (BGYS) : Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, yazılı hale getirilmiş, kurumun yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütünüdür.
  • İSM: İl Sağlık Müdürlüğü
  • SOME: Siber Olaylara Müdahale Ekibi
  • Üst Yönetim: Kurum adına karar verme ve harcama yetkisine sahip yönetici / yöneticilerdir.

  1. BİLGİ GÜVENLİĞİ ORGANİZASYONU
  2. POLİTİKA METNİ
  1. Balıkesir İl Sağlık Müdürlüğü genelinde (Müdürlüğe bağlı olan tüm sağlık teşkillerini de kapsayacak şekilde) bilgi güvenliği ve siber olaylara müdahale ile ilgili konularda en üst düzeyde karar organı olarak görev yapmak, bilgi güvenliği yetkilisi ve kurumsal SOME tarafından gerçekleştirilecek faaliyetlere destek vermek, Bakanlık tarafından yayımlanan eylem planları doğrultusunda bilgi güvenliği ile ilgili faaliyetleri takip etmek ve gerekli çalışmaları yapmak maksadıyla Balıkesir İl Sağlık Müdürlüğü Bilgi Güvenliği Alt Komisyonu oluşturulmuştur.
  2. Müdürlüğümüz Bilgi Güvenliği Alt Komisyonu çalışmalarını koordine etmek ve komisyon toplantılarına başkanlık yapmak üzere İSM’ de görev yapan bir personel Bilgi Sistemleri Koordinatörü olarak atanmıştır.
  3. Yönerge ve Kılavuzda belirtilen görevleri yerine getirmek ve İSM bünyesinde yer alan tüm kurum ve kuruluşlar adına Sağlık Bilgi Sistemleri Genel Müdürlüğü ile koordineli olarak gerekli çalışmaları yürütmek üzere Bilgi Güvenliği Yetkilisi ve Kurumsal SOME Ekip Lideri görevlendirilmiştir.
  4. İlimiz genelinde meydana gelebilecek siber olaylara müdahale etmek ve görev alanı ile ilgili hususlarda Bakanlık Sektörel SOME ile birlikte çalışmak üzere, Rehberde belirtilen esaslar çerçevesinde bir adet Kurumsal SOME oluşturulmuştur.
  5. Bilgi güvenliğinin insan kaynakları, fiziksel ve çevresel güvenlik, hukuk işleri ve bilgi sistemleri ile ilgili alanlarında gerekli desteği vermek üzere ilgili birimleri temsilen Bilgi Güvenliği Alt Komisyonunda komisyon üyesi olarak görev yapmak üzere personel görevlendirmesi yapılmıştır.
  6. Yukarıda belirtilen esaslar doğrultusunda İl Sağlık Müdürü oluru ile görevlendirilmiş personel bilgileri ektedir.
  7. Müdürlüğümüze bağlı diğer sağlık tesislerinde bilgi güvenliği ile ilgili faaliyetler aşağıda belirtilen usul ve esaslar doğrultusunda yürütülür.
  • 5.7.1.Müdürlüğümüze bağlı sağlık hizmeti sunumu yapan sağlık teşkillerinde bilgi güvenliği ile ilgili faaliyetleri yürütmek ve İSM Bilgi Sistemleri Koordinatörü, İSM Bilgi Güvenliği Yetkilisi ve Kurumsal SOME Lideri ile her türlü koordinasyonu yapmak üzere bir personel Bilgi Güvenliği Yetkilisi olarak görevlendirilir.
  • 5.7.2.Müdürlüğümüze bağlı sağlık teşkillerince, gerekiyorsa İSM Bilgi Güvenliği Alt Komisyonu ile benzer görevleri yürütmek üzere Hastane Bilgi Güvenliği Ekibi kurulur. (Kurulması halinde) Bu ekiplerde görev yapan personelin kimlik bilgileri, Hastane Hizmet Kalite Standartları gereği hazırlanması gereken Hastane Bilgi Yönetim Süreç dokümanlarında belirtilir. Bu personelin bilgilerinin, ayrıca İl Sağlık Müdürlüğüne gönderilmesine gerek bulunmamaktadır.
  • 5.7.3.Müdürlüğümüze bağlı 1’inci basamak sağlık hizmeti sunumu yapan sağlık teşkillerinde ayrıca bir bilgi güvenliği yetkilisi görevlendirmesi yapılmaz. Varsa ilgili kurumda günlük bilgi sistem işletme ve yönetim faaliyetlerini yapmakla sorumlu olan kişi bilgi güvenliği ile ilgili faaliyetleri de yürütür. Konuyla ilgili hiçbir personeli olmayan kurum ve kuruluşların bilgi güvenliği ile ilgili faaliyetleri İSM Bilgi Güvenliği Yetkilisi tarafından yerine getirilir.
  1. İSM Kurumsal SOME’si, İSM’nin kendisi de dâhil İSM’ ye bağlı tüm sağlık teşkillerinde meydana gelen siber güvenlik olaylarına müdahale etme ile yetkilidir. Diğer sağlık teşkillerinde bu ad altında bir ekip ya da kişi görevlendirilmesi yapılmasına gerek bulunmamaktadır.
  2. BGYS Komisyon Görev, Yetki ve Sorumlulukları aşağıda belirlenmiştir.
    1. İl düzeyindeki Bilgi Güvenliği Politika ve stratejilerini belirler; BGYS yönergesine bağlı revizyonları yapar.
    2.  BG politikalarının uygulanmasını ve uygulanmadaki etkinliğini gözden geçirir.
    3. BG faaliyetlerinin yürütülmesini yönlendirir.
    4. BG eğitim ve farkındalığının sağlanması için plan ve program yapar.
    5. BG faaliyetleri ve kontrollerinin tüm kurum ve kuruluşlarda koordine edilmesini sağlar.
    6. Yürütülen çalışmaların tabana yayılması hususunda planlanan çalışmalara katılır, bağlı oldukları birimlerde bu çalışmaların yayılmasına öncülük eder.
  1. Müdürlüğümüz bilgi güvenliği modeli, Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzuna dayanır ve kurumsal bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini sağlamak için operasyonel ve yönetsel çerçeveyi sunar.
  2. Balıkesir İl Sağlık Müdürü, üst yönetim adına,  kurumsal faaliyetlerin icrasında iş süreçlerinin bilgi güvenliği kurallarına uygun olarak yürütülmesi için gerekli olan kaynak ihtiyaçlarını temin etmek ve bilgi güvenliğinin etkin bir şekilde uygulanmasını sağlamak hususundaki iradesini,Bilgi Güvenliği Taahhütnamesi ile taahhüt ve beyan etmiştir.Taahhütname, balikesirism.saglik.gov.tr adresinde yer almaktadır.
  3. Tüm personel,faaliyetlerini dayanak kısmında belirtilen mevzuat ve başta bu politika olmak üzere üst yönetim tarafından belirlenen bilgi güvenliği politikalarına uygun şekilde yürütmekten sorumludur.
  4. Tüm personel, BGYS politikalarını bilmek ve gerekliliklerini uygulamakla sorumludur.
  5. Bilgi güvenliği ihlal olayı fark edildiğinde,https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildiradresinde yer alan ihlal bildirimi internet sayfası aracılığı ile bildirilmesi tüm personelin sorumluluğundadır.
  6. Fiziksel güvenlik tedbirleri çerçevesinde (giriş çıkış kapıları,  ofis odaları, ürün teslim alanları, depoların güvenliği ve personel tanıtım kartlarının kullanımı vb.) belirlenmiş kurallara tüm personel tarafından uyulması zorunludur.  
  7. Bilişim altyapı hizmetlerine erişmek isteyen (sunucu erişimi, veri tabanı erişimi vb.) dış taraflar (erişime ihtiyaç duyan her türlü tedarikçi ya da Sağlık Bakanlığı dışındaki kurumlar) mutlak suretle kurum erişim prosedürüne uygun bir şekilde erişim sağlamalıdır. Uygunsuz erişim girişimleri ihlal olayı olarak tanımlanır.
  8. Müdürlüğümüz bilgi güvenliği politikası kapsamında hizmet veren tüm taraflar ile gizlilik sözleşmesi imzalanır.
  1. EKLER
  2. Tüm Sağlık Teşkilleri Tarafından Ortak Olarak Kullanılacak Destek Dokümanları:
  • Balıkesir İSM Bilgi Güvenliği Organizasyonda Görev Yapan Personel Bilgileri
  • Parola Prosedürü
  • Erişim Kontrol Prosedürü ve Erişim Kontrol Matrisleri (Merkezi olarak kullanılan sistemler ve SBYS yazılımları için)
  • Erişim Prosedürü (VPN Bağlantı Talep Formu vb. dâhil)
  • Bilgi Saklama Ortamları Yok Etme Prosedürü

    Veri İmha Formu

  • İnternet ve E-Posta Kullanım Politikası
  • Sosyal Medya ve Sosyal Mühendislik Saldırılarından Korunma Politikası
  1. Sağlık Teşkilleri Tarafından Kendi Kurumlarına Özgü Hazırlanması Gereken Destek Dokümanları:
  • Fiziksel ve Çevresel Güvenlik Prosedürü
  • Taşınabilir Ortam Yönetimi Prosedürü
  • Temiz Masa, Temiz Ekran Prosedürü
  • İşe Başlama, Görev Değişikliği ve İşten Ayrılma Prosedürü (İşe Başlama Formu, İşten Ayrılma Formu vb. dâhil)
  • Yedekleme Prosedürü
  • Sistem Güvenlik Prosedürü (Etki Alanı, Sunucu ve Sistem Odası Güvenliği, Ağ Güvenliği)