2. KAPSAM. eirci cuvrrvlici poririxnst

Transkript

1 eirci cuvrrvlici poririxnst Bilgi Gtivenligi Politikast, Malatya Halk Saflrir MiidUr[ifiri ve baglr birirnler bunyesinde ytirtitulen bilgi grivenlifinin saflanmasrna ycinelik galrgmalarrn kapsamrnr, igerifini, yontemini, mensuplartnt, gcirev ve sorumluluklart, uyulmasr gereken kurallarr igeren bir doktjmandlr. Bu politikada trim bolrimleri ilgilendiren maddeler oldugu gibi szrdece bazr bollir"nleri ilgilendiren maddelerde bu lun ma ktadrr. L. AMAe Bilgi gtivenli8i politikasrnrn amacr trim bilgi varlrklarrmrzrn gizliliii, bljtlinlr.jgr.j ve gerektifiinde yetkili ki5ilerce erigilebilirligini saflamaktrr. Bilgi diger kryrrnetli varlrklalmrzrn iginde en gok ihmal edilen fakat kurum aglslndan en cinemli varlrklardan biridir. Bilgi gtlvenligi sadece bilgi teknolojileri galrganlarrnrn sorumlulugunrja degil eksiksiz ttim galrsanlartn katrlrmr ile bagarrlabilecek bir igtir, BilgigrivenliIi bilinglendirr"ne srjreci kurum iginde en list seviyeden en alt seviyeye kadar gahganlarrn katrlimrnr gerr:ktirrnektedir, Kurum gallsanlart, yriklenici firma personeli, yan zamanlr personel, stajyerler, di$er kurum galt5anlarl, ziyaretgiler, ig ortaklarrnrn galrganlarr, destek alan firmalarrn personeli, krsaca kurumun bilgi varllklarlna erigim gereksinimi olan herkes kullanrcr kaiegorisine girmektedir, Kullanrctlar, bilgi gtivenlifii bilinglendirme srjrecindeki en br,iyrik ve cinemli hedef kitledir, Ayrtca bilgi grivenliii sadece bilgi teknolojileri ile ilgili teknik onlemlerden olusmaz. Fiziksel ve gevresel gtivenlikten, insan l<aynaklarr guvenli$ine, iletigim ve haberleqmer grivenlifiinden, bilgi teknolojileri grivenlifiine birgok konuda gegitli kontrollerin yaprlmasr amacryla ylirlitrilen bilgi guvenli[i galrsmalartmtztn genel ozeti bu politikada verilmektedlir. politikalarrn uygulanmasryla ilgili detay bilgileri igin ilgili prosedrirlere, rehberlere, planlara, raporlara ve alt politikalara bakrlmalrdrr. Bu politika bilgi grivenlifi politikasr ve detaylr kullanrm politikalarrnr da kapsayan bir rist dokrimandrr, Yonetim taraftndan onaylanmtg ve yayrnlanmt$ttr, Yonetim taral'lndan drizenli olarak gozden gegirilmektedi r. 2. KAPSAM o Veri Dosyalarr,. Uygulama ve sistem yaztlrmlarr, r Grjvenlik cihazlarr, sunucular(server) o Bilgisayarlar, iletigim donanrmr ve veri depolama ortamlarr, o Kurum tarafrndan r.iretilen, kullanrlan ve geli5tirilen tri vs. HAZIRLAYAN ONAYL/\YANI\\ \\ Dr.Kemal genli l'lalk Sailrfr Mricl

2 3. eilci cuveruli6i neoe rlrni vr pnrrusiple ni Bilgi guvenlifi yonetimi kapsamrna alrnan trim britrln[ik ve erigilebilirlik prensiplerine uyacak cinlemler belirtilen risk yonetimi stjreglerde ve varlrklarda gizlilik, alnnak amacryla :rga$lda detaylarr faaliyetleri ytirritrilmektedir. Her bir varlrk igin risk seviyesinirr kabul edllebilir risk sevivesinin altlnda tutmak hedeflenmektedir. Risk yonetimi ve kontrollerin uygulanmasr srirekli bir faaliyettir ve kabul edilebilir risk seviyesinin alttna inen riskler igin de iyile5tirme yaprlmasr hedeflenmektedir, 4. eilci cuve rulitii vnplsl ve organizasyont.! Bilgi Gi.ivenlifii Komisyonu Gtirev, yetki ve Sorumluluklarr o Bilgi Grivenliii Komisyonu kurum yoneticisi tarafrndan olugturulur. o Kurum yoneticisi bu komisyona bagkanlrk eder. ' Bilgi Grivenligi konularlntn altyaprsrnt olugturacak projelerin yrirrittilebilrnesi iqin gerel<li onayr vermek. o Malatya Halk Sa[lrfr Mtidtirltifiri ve bafilr birimlerinde uygulanmasr gereken Bilgi Grjvenlifii Politikalarrn geligtirilmesi igin hazrrlanan projelere katkr sunmak. o Malatya Halk Sa[lrfir Mtjdtirltifiti ve baflr birimlerinde uygulanmasr gereken Bilgi Grivenligi Politikalarrn geligtirilmesi igin hazrrranan projelere katkr sun ma k. o Kapsam kararlart, risk degerlendirme metodolojisi, kontrollerin uygulanmasr konularrnda onay vermek ve ballr olduklarr birimlerde uygulanmasrnr safilamak. o Bilgi gtjvenligi yetkilisi taraftndan hazrrlanan projelerin gereklilifi olan, birirn gall5;anlarrnrn, ve ytiklenici firma personellerinin farktndalrk drizeylerinin artrrrlmasrna yonelik organize edilen galrgmalarrn ttim tabana yayrrmasr igin gerekli deste$i vermek. 5. EiLCi VARLIKLARIMTZ Malatya Halk Sa[lrgr MrldtirlriIri brinyesinde yer alan tlim fiziki alanlarda bulunan birimlerin yapml$ olduklarr iglerde riretilen bilgiler carlrklarrmrzr olugturmaktarjrr, MasatistU bilgisayarlar, laptoplar, CD ve DVD ortamrndaki veriler, evraklar, l<lasor ve evrak dolaplarr, sunucular gibi elektronik veya yazrh-baskrlr ortamda bulunan veya iletim ortamtnda (internet, elektronik posta, telefon vb.) yer alan trlm veriler l<ururnumuz igin bilgi varlr[l olarak tanrmlanmlgtlr \ HAZIRLAYANI onaylay t \\

3 Kodu BG.PO.01 ayrnlama MALATvA HALK sngue I vuounru6u sit_ci cuvrrurici poririkasi ;,. t :ij 11 it r:i_,r l,il,n$e!*jj*_ t{atr sa Lr6! &ii.lf4lal{i [.j Sayfa ;ji -: Gizli lg Kullanlm Kigisel Kuruma Agrk Halka Agrk BILGI SINIFLANDIRMA KILAVUZU En kritik bilgilerdir, sadece yonetim kadrosunur :ri5imi vardrr, Bu trir bilgilerin yetkisiz erigilmemesi, fga edilmemesi veya paylagrlmamasr kurum agrsrndan ;ok onemlidir. Gizlilik on plandadrr. Sadece birimlere ozel bilgilerdir. Departmar ;alrganlarr drgrnda higbir 3. taraf kurumun veya kiginin 3ormemesi gereken bilgilerdir. Gizlilik cin plandadrr, Birim gallganlarrnrn kigisel gallgmalarr ile ilgil bilgilerdir. Kurum iglevleri igin yapllan kigise ;a lrgm a la r b u rad a tutu la b ilir. pc, La ptop veya )olaplarda igle ilgili olmayan differ kigisel bilgiler :utulamaz. Eri$ilebilirlik on plandadrr. lu bilgiler kurum galrganlarrnrn kullantmr igindir :rigilebilirlik ve blitunllik on plandadrr )epartmanlarrn kendi aralarrnda payla5trklarr bilgiler lu srnrfa girer. Bu bilgiler T,C. Saglrk Bakanhfrna bafilr trjn tegkilatrna, tedarikgilere ve halka agrk bilgilerdir. Bu bilgilerin erigilebilirlifii onemlidir. Saklama Yeri Hazrrlayan kis taraflndan kontro edilen ve kapal cdalarda bulunan kilitl Colaplar ve kigise cilgisayarlar )epartmanrn kilitl lolaplarr, rilgisaya rla r kigise llalrgma masalarrnrr kilitli gekmeceleri )epartmantn kilitl rrtak dolaplarr Dolaplar ve dolap J r5rnd a Kurum iginde her galrgan bu srntflandrrma gergevesinde kendi kullanrmrnda olan veya kendi tirettifi bilgileri stnlflandtrmahdrr. Bu srnrflandrrmaya gore halka agrk dokumanlar web sitesinde yaylnlanan ve islem igin tigtlncti taraflara verilen kafirt veya elektronik ortamdaki bagvuru formu, duyurular vb, bilgilerdir. 6. PAROLA CuVerulitii o Malatya Halk Sa[lrk Mridrirltifri ve bafflr igeren standartlarda olmalrdrr. o Parola en az B karakterden olusmalrdrr. birimlerinde parola sistemi agafirdak HAZIRLAYAN onaylay, \ \ Ser Bilgi Gri Dr.Kemal SE Halk Saflrfrr Mrid

4 oharfferinyanr karakterrlerigermelidir, o Briytik ve krigrik harfler bir arada kullanrlmalrdrr. obu kurallara uygun parola olugtururken, aynr zamanda saldrrganlarrn ilk olarak denedil<leri parolalar vardtr. Bu nedenle parola olugtururken agagrdaki onerilreri de dikkate almak gerekir. o KiSisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanrlmamalrdrr. (Orneiin , qwerty, do[um tarihi, soyadr gibi) o sozlrikte bulunabilen kelimeler parola orarak kullanrlmamalrdrr. o Qo[u kiginin kullanabildi[i aynr veya gok benzer yontem ile kullanrlmamalrdrr. geligtirilmi5 parolalar o Basit bir kelimenin igerisindeki harf veya rakamlarr benzerleri ile defiigtirilerek gilglri bir parola elde edilebilir Orn; 'B' yerine B 'Z' yerine 2 0rne[in,I,, i','l','l' yerine 1 'O' harfi yerine 0 'S'yerine 5'G'yerine 6 'g' yerine 9 Balrkgrl-Kazal< Ba 1-1k911-Ka2ak Solaryum I 50laryum! o ise yeni baglayan personele, kullanaca$r bilgisayar, program vb. qifrr:ler kapalr zarf igerisinde SaIlrk Bilgi Sistemleri Birimi tarafrndan zimmet ile teslim edilir. o Personel i5ten ayrrlacafit zaman Mridrirlrik btinyesinde kullandr[r 5ifreleri Sa[lrk Bilgi sistemleri Birimi tarafrndan iptal edilir yada kullanrm dr5r brrakrlrr. o Kullantlan ttlm Sifreler ilgili personel tarafrndan 6 aylrk periyotlar halinde degi5tirilir, 7. E-PoSTA e uvrruligi okullantctya resmi olarak tahsis edilen e-posta adresi, kotu amagll ve kigisel grkar amaglr kullanrlamaz.. i$ dr$r konulardaki haber gruplarr kurumun e-posta adres defterine ekilenemez. o Kurumun e-posta sunucusu, kurum igi ve drgr bagka kullanrcrlara SPAIV, phishing mesajlar gondermek igin kullanllamaz. o Kurum,,,v, igi ve vs drgr urj,r herhangi rrsrrroil6r bir uil kullanrcr KuildilrLr ve gruba; B,Iuoa; krigrik Ku9uK dtigrirricri, qu$urucu, haka nakargt edlc verici nitelikte e-posta mesajlarr gcinderilemez..internet haber gruplarrna mesaj yayrmlanacak ise, kurumun safladrfr r i g-po HAZIRLAYA[\ Ser Bilgi Gri Dr.Kemal ge Halk Sailrir M

5 MALATYA HALK sng ug I vru ou nru6 u sirei cuveruriei poririkasi _n*l4{i** 3-irsr K ss6.lrgl fd g DilRtiJG [.r Du.ru.ur ' I I j '.,f. t:i ' bu mesajlarda kullanrlamaz. Ancak i5 gerefi tiye olunmasr yararlr Internet haber gruplal igin yoneticisinin onayt allnarak kurumun safladtfr resmi e-posta adrr:si kullanrlabilir. o Higbir kullantct, gonderdi$i e-posta adresinin kimden bokimtine yetkisi clr5rnda bagka bir kullanrcrya ait e- posta adresini yazamaz. o Personel KoNU alanr bo5 bir e-posta mesajr gondermemelidir. o KONU alanr bog ve kimlifi belirsiz higbir e-posta agrlmamalr ve silinmelidir, o E-postaya eklenecek dosya uzanttlarr ".exe", ",vbs" veya yasaklanan di[er uzantrlar olamaz. Zorunlu olarak bu trir dosyalarrn iletilmesi gerektifi durumlarda, dosyalar srkrgtrrrlarak ( zip ve/ya rar formatrnda) mesaja ekrenecektir. o Bakanlrk ile ilgili olan gizli bilgi, gonderilen mesajlarda yer almamalrdrr. Bunun lcapsamr igerisine ilistirilen ofieler de d6hildir. Mesajlarrn gonderilen ki5i d15rnda baskalarrna ulagmamasr igin gonderilen adrese ve igerdigi bilgilere ozen gcisterilmelidir. ol(ullanlct, Kurumun e-posta sistemi rizerinden taciz, suiistimal veya herhangi bir gekilde alrcrntn haklarrna zarar vermeye yonelik o[eleri igeren mesajlan gondermemelidir. Bu ttjr ozelliklere sahip bir mesaj alrndrfirnda Sistem Yonetimine haber verilmelidir. o Kullantct hesaplart, dofirudan ya da dolaylr olarak ticari ve k6r amaclr olarak kullanrlmamalrdtr. Difer kullanrcrlara bu amagla e-posta gcinderilmemelidir. ozincir mesajlar ve mesajlara iligtirilmig her trirlri galrgtrnlabilir dosya igeren e-postalar altndrfirnda ba5kalarrna iletilmeyip, Sistem Yonetimine haber verilmelidir. o Spam, zincir e-posta, sahte e-posta vb. zararlr e-postalara yanrt verilmemelidir. okullanlct, e-posta ile uygun olmayan igerikler (siyasi propaganda, rrkgrlrk, pornografi, fikri m ri lkiyet igeren m alzeme, vb. ) gondermemelidir. okullantct, e-posta kullanrmr strastnda dile getirdifi trim ifadelerin kendisine ait oldufiunu kabul etmektedir. Sug tegkil edebilecek, tehditkir, yasadrgr, hakaret edici, ktjfrjr veva iftira igeren, ahlaka aykrrr mesajlarrn igerifinden kuilanrcr sorumludur. o Kullantct, gelen ve/veya giden mesajlannrn kurum igi veya drgrndaki yetkisiz ki5iler tarafrndan okunmasrnr engellemelidir. o Kullantct, kullantcr kodu/parolasrnr girmesini isteyen e-posta geldifiinde, bu e-postalara herhangi bir iglem yapmaksrzrn sistem yonetimine haber vermelidir. o Kullantct, kurumsal mesajlanna, kurum ig akrgrnrn aksamamasr ig:in zamanrnda vanrt vermelidir. 'KaynaEt bilinmeyen e-posta ekinde gelen dosyalar kesinlikle agrlmamalr ve tehdit unsuru old ufu dri5un ri len e-postalar sistem yonetim ine ha ber verilm elid i r. 'Kullantcl, kendisine ait e-posta parolasrnrn grivenli[inden ve gcinder:ilen e-postalardan dofacak hukuki islemlerden sorumlu olup, parolasrnrn krrrldrgrnr fark ettigi anda Sistem Ycinetimine haber vermelidir. 8. eilci cuverulirii inul olavlari HAZIRLAYA[\I ONAYL/\YAII Dr.Kemal Halk Saflr[r

6 ' Bilgi grivenliii ile ilgili olaylar derhal rapor edilmelidir. Raporun verileceffi ve bilgi su n u lacak bcilrj m ler ta bloda belirtilm igtir. r Kurum politikalarrna uymayan her trjr davran15, kurum bilgi gtivenliffi prensipleri ve talimatlarrna ayktrt her ttir bilgi paylagrmr, uygunsuz PC/Laptop kullanrmr, yetkis;iz girigler, uygun olmayan yerde yetkisiz personelin gorrilmesi, bilgisayar varlrklarr ile ilgili arrza, hlrstzltk, kaybolma vb. olumsuzluklar bilgi grivenligi olayr kapsamrna girmektedir, oolay halinde mtidahaleyi ilgili/yetkili birimler yaparlar. Olayr raporlayan kiginin mr.idahale etmemesi ve uzmanlarln mlidahalesi igin higbir geye dokunmamasr gerekmektedir. 'Zayrfllklarrn tespiti durumunda onlem alrnmasr igin ilsa$lrk MUdrirlrifiri web sayfasr iletigim linki altrnda yer alan Bilgi Grivenlifi (ihtat Bildirimi) formu internet ortamrnda dtjzenlenerek, Sa$ltk Bilgi Sistemleri Biriminin bilgi sahibi olmasr saglanrr. ozayrflrklar 5unlardan biri olabilir: politikaya direnen kullanrcrlar, igletim sistemindeki eksik yamalar, epostalardaki spamin artmasr, sistemin yavaglamasr, cihazlarrn fazla rsrnmasr, giris ve grkrslarda tespit edilen yetkisiz girige uygun alanlar ve durumlar, kapatrlmayan kaptlar, kilitlenmeyen dolaplar, kapatrlmayan oturumlar (bilgisayarr agrk brral<rp gitme), dafrnrk ve halka agrk ortamlarda duran bilgiler ve bunun gibi konularda gdzlemlenen ve Bilgi GUvenlifri Komisyonunun dikkatinden kagan konular. 9. TEMiZ MASA r QaltSma saatleri drsrnda bilgisayarlar kapalr ya da kilitli gekilde brrakllmalrdrr. Qalrgma saatleri igerisinde basrndan ayrrldrfirnda mutlaka bilgisayar kilitli brrakrlmalrrjrr.(ekran koruyucu 5-10 dk araslnda devreye girmelidir ve gifre korumasl olmalrdrr.) o Kuruma ait dokrimante edilmig gizli bilgiler kilitli ortamda tutulmalrdrr. o Gizlilik dereceli evraklar, i5levini tamamladrktan sonra imha edilirler. o Gelen ve giden mesaj noktalan ve faks veya teleks makineleri bagrbo5 olarak brrakrlmaz. o Kuruma ait antetli ka$rtlar kilitli dolaplarda tutulmalrdrr. o Hassas ve srnrflandrnlmrg bilgi basrldrfirnda yazrcrdan hemen temizlenir. o Bilgisayarlartn masatjstlerinde kuruma ait cizel bilgiler iqeren doktjmanlar bu lundu rulma malrd rr, o Bilgisayarlara ait olan gifreler kesinlikle k6[rt ortamlara yazrlr bir gekilde brrakrlmamalr, 10. sosyalvunrruoist-irzafiyetleri o Mtidtjr[ik ve ba[ll sa$lrk kurulu5larrnda sosyal mtjhendislik zafiyetlerinin cjnlenebilmesi igin sosyal medya igerikli web sayfalarrna giri5 yaprlmasrna izin veri l rkt Medya igerikli web sayfalarr firewail ire engellenmig olup, loglamasr ya I HAZIRLAYAN ONAYLAT

7 o Qalr5anlar tarafrndan; cizellikle telefonda, e-posta veya sohbet yoluyla yaprlan haberlegmelerde gifre gibi ozel bilgiler payla5rlmaz. o$ifre kisiye ozel bilgidir. Sistem yoneticisi dahiltelefonda veya e-posta ile gifre perylagrlmaz. 'Kazaa, emule gibi dosya paylagrm yazrlrmlarrnrn kullanrmr yasaklanmrg olup, firewall ile engellenmigtir. LT. irusnru KAYNAKLARI VE ZAF YETLERi YoNErivi o Gizlilik ihtiva eden yazrlar kilitli doraprarda muhafaza edilir. o QKYS t"izerinden ki5iyle ilgili bir iglem yaprldrfrnda(izin ka[rdr gibi) ekranda bulunan kigisel bilgilerin difier kigi veya kigilerce gorulmesi engellenmelidir. 'Diger ki5i, birim veya kuruluglardan telefonla ya da sozlri olarak galrganlarla ilgili bilgi istenilmesi halinde higbir suretle bilgi verilmemelidir ' imha edilmesi gereken (mrisvedde halini almrg yada iptal edilmig yazt ar vb.) kafirt kesme makinasrnda imha edilmelidir. o Ttim galt5anlar, kimliklerini belgeleyen kartlarr gdrrinrir 5ekilde rjzerlerinde bulundurmalrdrr. o Gorevden ayrtlan personel, zimmetinde bulunan malzemeleri teslim etrnelidir. o Personel gcirevden ayrrldr8rnda veya personelin gorevi deffigtifiinde elindeki bilgi ve belgeleri teslim etmelidir. o Personel gorevden ayrrldrgrnda yetkisinde bulunan EBYS, QKYS, Mail adresi, Bilgisayar gifreleri SBS tarafrndan teslim alrnarak, iligik kesme belgesinde yetkilerinin iptal edildigine dair imza altrna alrnrr. ogorevden ayrrlan personelin kimlik kartr ahnmalr ve yazryla idareye iade edilmeliclir. HAZIRLAYAN Halk Saflrfr M