BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ

Transkript

1

2

3

4

5 BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ 1. Evrakların idari ve hukuki hükümlere göre belirlenmiş Evrak Saklama Planı na uygun olarak muhafaza edilmesi gerekmektedir. 2. Yasal bekleme süreleri sonunda tasfiyeleri sağlanmalıdır. Burada Özel ve Çok Gizli evraklar Devlet Arşiv Hizmetleri Yönetmeliği hükümleri gereği oluşturulan Evrak İmha Komisyonu ile karar altına alınmalı ve imha edilecek evraklar kırpma veya yakılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır. 3. Bilgi Teknolojilerinin 14 Mart 2005 Tarihli sayılı Resmi Gazete de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. Komisyonca koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir. 4. İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek yer belirlenmelidir. 5. Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır. 6. Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara data imha tutanağı düzenlenmesi ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin data-imha tutanağı düzenlenmelidir. 7. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır. 8. Tamamen tahrip edilememiş disk parçalarının delme, kesme makinaları ile kullanılamaz hale getirilmelidir. 9. Hacimsel küçültme işlemi için parçalanmalıdır. 10. Son ürünlerin gruplar halinde fotoğraflanarak ilgili kişi ve/veya kuruma iletilmesi gereklidir. 11. Çıkan metallerin sınıflarına göre ayrılarak, biriktirildikten sonra eritme tesislerine iletilmesi gerekmelidir.

6 İHLAL BİLDİRİM VE YÖNETİMİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa İHLAL BİLDİRİM VE YÖNETİMİ 1. Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında e-posta ile bildirim yapılmalıdır. 2. Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulur. 3. Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı hazırlanır. 4. Güvenlik olayının oluşması durumunda olay anında raporlanır. 5. İhlali yapan kullanıcı tespit edilir ve ihlalin suç unsuru içerip içermediği belirlenir. 6. Güvenlik ihlaline neden olan çalışanlar, üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurur. 7. Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor eder. 8. Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınır. 9. Normal olasılık planlarına ilave olarak olayın tanımı ve sebebinin analizi, önleme, tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması, olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili otoritelere raporlanması konuları göz önüne alınır. 10. İç problem analizi, adli incelemeler veya üretici firmadan zararın telafi edilmesi için aynı türdeki olayların izleme kayıtları (log) toplanır ve korunur. 11. Güvenlik ihlallerinden kurtulmak için gereken eylemler, sistem hatalarının düzeltilmesi hususları dikkate alınır. 12. Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır; a. Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi b. Kanıtın niteliği ve tamlığını gösteren ağırlığı 13. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulanabilir: a. Uyarma b. Kınama c. Para cezası d. Sözleşme feshi 14. Her türlü bilgi güvenliği ihlali ve Politikaya aykırı durumlarda, (Veri Kaybı, yetkisiz giriş, virüs, ağ üzerinden saldırı, sistem sunucu problemleri vb.) bilgi güvenliği birimine bildirilmelidir.

7 İNSAN KAYNAKLARI VE ZAFİYETLERİ YÖNETİMİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 1 İNSAN KAYNAKLARI VE ZAFİYETLERİ YÖNETİMİ 1. Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. 2. Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. 3. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında (izin kâğıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir. 4. Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir. 5. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kâğıt kesme makinasında imha edilmelidir. 6. Tüm çalışanlar, kimliklerini belgeleyen kartları görünür şekilde üzerlerinde bulundurmalıdır. 7. Görevden ayrılan personel, zimmetinde bulunan malzemeleri teslim etmelidir. 8. Personel görevden ayrıldığında veya personelin görevi değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. 9. Görevden ayrılan personelin kimlik kartı alınmalı ve yazıyla idareye iade edilmelidir.

8 İNTERNET VE E-POSTA GÜVENLİĞİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 1 İNTERNET ve E-POSTA GÜVENLİĞİ 1. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz. 2. İş dışı konulardaki haber grupları kurumun e-posta adres defterine eklenemez. 3. Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar göndermek için kullanılamaz. 4. Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez. 5. Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz. 6. E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir. 7. Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir. 8. E-postaya eklenecek dosya uzantıları.exe,.vbs veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak (zip veya rar formatında) mesaja eklenmelidir. 9. Kullanıcı hesapları, doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara bu amaçla e-posta gönderilmemelidir. 10. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmemelidir. 11. Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir. 12. Kullanıcı, e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemelidir. 13. Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur. 14. Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir. 15. Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir. 16. İşle ilgili tüm e-posta uzantılı e-posta hesapları üzerinden yapılmalıdır. E-posta gönderen ve e-posta alan uzantılı olmalıdır. 17. E-posta şifresi en az 8 karakterden oluşmalı; en az bir büyük harf, en az bir rakam, en az bir sembol içermelidir. (ör: 1st@nbuL) 18. E-posta şifresi periyodik olarak üç ayda bir değiştirilmelidir. Daha sık değiştirilmesi önerilir. 19. E-posta şifresi ve/veya şifreyi açık edecek herhangi bir bilgi kağıt, telefon vs. ortamlarda bulundurulmamalıdır. 20. E-posta şifresi kimseyle paylaşılmamalıdır. 21. E-posta şifresinin unutulması halinde şu anki yöntem: yeni parola; uzantılı e-posta hesabından eposta@saglik.gov.tr adresine PAROLA SIFIRLAMA konulu, şifreyi unutan kişinin tc, ad-soyad, kullanıcı adı, unvanı bilgilerini içeren e- posta yollanarak alınır. 22. E-posta ile ek gönderilecekse anti virüs programlarıyla taranmalıdır. Aynı şekilde e- posta ile gelen ekler de açılmadan önce anti virüs programlarıyla taranmalıdır.

9 İNTERNET VE E-POSTA GÜVENLİĞİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa E-posta ile gönderilecek eklerin boyutu 10 MB ın üzerindeyse sıkıştırma programlarıyla sıkıştırıldıktan sonra gönderilmelidir. 24. İnternete çıkılan tüm bilgisayarlarda anti virüs programı yüklü olmalıdır. 25. Yüksek güvenlik gerektiren işlemlerde https uzantılı internet adresleri tercih edilmelidir. 26. Şüpheli görülen sitelere girilmemeli, girilmesi halinde herhangi bir linke tıklanmamalı, kesinlikle indirme yapılmamalıdır. 27. İnternet sitelerinde çıkan reklamlara tıklanmamalıdır. 28. Tarayıcı geçmişleri gün sonunda silinmelidir. Tarayıcıların gizli mod da kullanılmaları önerilir.

10 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi RevizyonTarihi Revizyon No Sayfa 1 1. Genel Şartlar Bir taraftan Reşatbey Mahallesi 5 Ocak Caddesi No: Seyhan ADANA adresinde faaliyet gösteren Adana Valiliği Halk Sağlığı Müdürlüğü (bundan sonra Müdürlük olarak anılacaktır) ile diğer taraftan. Adresinde faaliyet gösteren..... (bundan sonra Hizmet Alan) (Müdürlük hizmet servislerinden yararlanan olarak anılacaktır) arasında (A) da yapılan iş tanımı ile ilgili olarak birbirlerine ilişkin edindiği veya edineceği aşağıda detayları belirtilen bilgilerin gizli tutulacağını ve aşağıda belirlenen kurallara uyulacağını kabul beyan ve taahhüt etmişlerdir. İş bu sözleşme birbirinin aynı 2 (iki) asıl kopya olarak tanzim edilmiş olup her biri taraflardan birine saklanmak üzere teslim edilmiş olacaktır. A. İşin Tanımı.... B. Erişim Yeri, Şekli ve Süresi 2. Tanımlar: İdare: Adana Halk Sağlığı Müdürlüğü Taraf: Müdürlük veya Hizmet Alan Taraflar: Müdürlük ve Hizmet Alan Yazılım: İş bu sözleşme kapsamında üretilen ve üretim sürecindeki her tür yazılım VTYS: Veri Tabanı Yönetim Sistemi Veri Öznesi: Kişisel sağlık verilerinin sahibi olan birey SGK: Sosyal Güvenlik Kurumu Kişisel Veri: Kişiyi belirli veya belirlenebilir kılan her türlü veri ya da veri kümesi Bilgi Güvenliği Yönergesi: T.C. Sağlık Bakanlığının Bilgi Güvenliği Politikaları Yönergesi Kılavuz: T.C. Sağlık Bakanlığının Bilgi Güvenliği Politikaları Kılavuzu Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir bir kişinin fiziksel, ruhsal, sosyal sağlığına veya veri öznesinin aldığı sağlık hizmetine ilişkin olan, elektronik, kağıt veya benzeri yollarla üretilen, taşınan veya saklanan sağlıkla ilgili her türlü verisidir. Bu kapsama sağlık hizmeti almak isteyen bireylere ilişkin kayıt bilgileri, ödeme bilgileri, sağlık gerekçeleriyle bireyi teşhis edebilmek amacıyla ilgili kişiye tahsis edilen numara, takma ad, sembol veya diğer herhangi bir özellik veya tanıtıcı, veri öznesine sağlık hizmeti sağlayan kişinin (örneğin; sağlık personeli) kimlik bilgileri gibi bilgiler de girmektedir. Veri İşleme: Otomatik olarak yapılıp yapılmadığına bakılmaksızın kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem veya işlem dizisidir. Veri işleme; kişisel verilerin toplanmasını, kaydedilmesini, organize edilmesini, depolanmasını, uyarlanmasını veya değiştirilmesini, geri erişimini, görüş alışverişini, kullanılmasını, iletim yoluyla açıklanmasını, yayılmasını veya diğer herhangi bir şekilde kullanılır halde bulundurulmasını, sıralanmasını veya kombinasyonunu, bloke edilmesini, silinmesini veya yok edilmesini ifade eder.

11 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi RevizyonTarihi Revizyon No Sayfa 2 3. Amaç: Sözleşme kapsamında yapılacak çalışmalar dolayısıyla Hizmet Alana vereceği ya da Hizmet Alan tarafından herhangi bir şekilde öğrenilecek gizli bilgiler ile Hizmet Alandan alınacak olan gizli bilgilerin işbu sözleşmede belirtilen şartlar ve taahhütler dâhilinde gizli tutulmasıdır. 4. Gizli Bilgi 4.1 Bu gizlilik sözleşmesi ile aşağıdaki bilgiler kesinlikle "Gizli Bilgi" olarak kabul edilecektir: a. İşbu Sözleşmenin imzalanmasından önce veya sonra Tarafların birbirinden, temsilcilerinden, çalışanlarından, yardımcılarından ve ilgili diğer üçüncü taraflardan yazılı veya sözlü olarak edindikleri, gizli olduğu açıkça ifade edilen veya edilmeyen, İş'le ve Taraflarla ilgili ticari olup olmadığına bakılmaksızın her türlü gizli bilgi, b. İş'in yapılması sırasında elde edilen her türlü gizli bilgi, yazışmalar, yazılımlar ve yazılımlara ait ticari sır niteliği taşıyan bilgiler, c. Veri öznelerine ait kişisel sağlık verileri başta olmak üzere her türlü kişisel veri, d. Yazılıma kaydedilen ve özel ve hassas niteliği olan veri/bilgi, e. Yürürlükteki mevzuat ve iç düzenlemeler uyarınca kullanıcılar tarafından gizli tutulması gereken elektronik ortamdaki veya kâğıt ortamdaki resmi ya da özel kişisel bilgi, belge, veri ve kayıtlar, f. İşbu sözleşme kapsamında doğrudan ya da dolaylı, sözlü veya yazılı şekilde elde edilen veyahut elektronik ortamda bulunan resmi ya da özel, teknik, mali, hukuki, idari her türlü kişisel ve hassas niteliği olan veri bilgi, belge ve kayıtlar, g. İdareye ait tüm ihale verileri ve dokümanları, h. Sözleşmeler, taahhütnameler ve saire her türlü hukuki evrak, i. Bunun yanında sözlü, yazılı, grafiksel veya bilgisayar ortamında okunabilecek türde fakat henüz yayımlanmamış, kamuya duyurulmamış yönetsel kararlar ya da gizli tutulan her türlü belirleme, tasarım, planlama, çizim, bilgi, buluş, araştırma, oluşum, metot, süreç, prosedür, geliştirme, knowhow, araştırma, iş planı, strateji, finansal bilgi. j. Herhangi bir şüpheye mahal bırakmaksızın, işbu Sözleşme kapsamında Gizli Bilgi; İdare ve İdare tarafından yaptırılan diğer proje yüklenicilerinin çalışanları da dahil ve bunlarla sınırlı olmamak üzere İdare için doğrudan ya da dolaylı hizmet eden tüm personeli, danışmanları ve diğer yetkilileri tarafından Hizmet Alana temin edilen bilgileri de kapsar. 4.2 Aşağıdaki bilgiler ise gizli olarak addedilmeyecektir: a. İfşa edilme tarihinde kamuya genel olarak duyurulmuş olan veya duyurulan bilgiler. b. Herhangi bir anlaşmaya veya gizlilik yükümlülüğü getiren bir göreve tabi olmayan bir kaynak tarafından gizliliğe tabi olmayan bir şekilde verilen bilgiler. 5. Kişisel Sağlık Verilerinin Gizlilik, Güvenlik, Bütünlük, Erişilebilirlik ve Mahremiyetinin Sağlanmasına Dair Genel Şartlar 5.1 İş bu sözleşmenin tarafları aralarında yürütecekleri iş ve işlemleri Bilgi Güvenliği Yönergesi ve Kılavuz hükümleri çerçevesinde yürütecektir. 5.2 Tüm yazılımların Sağlık Bakanlığı'nın bilgi güvenliği politikalarına ve kişisel sağlık verilerinin mahremiyetinin korunması ile ilgili mevzuata uygun olması şarttır. 5.3 Kişisel sağlık verileri özel niteliği olan veri kategorisinde yer almaktadır. Bu nedenle SGK, kişilerin özel sigorta şirketleri ile yapmış oldukları sözleşme kapsamı ile sınırlı olmak üzere bu şirketler, Sağlık Bakanlığı veya Bakanlığa bağlı İl Sağlık Müdürlüklerinde bulunan veri tabanı dışında hiçbir veri tabanı yönetim sistemine kişisel sağlık verileri başta olmak üzere hiçbir veri, idarenin bilgisi dışında (otomatik olup olmadığına bakılmaksızın) gönderilmez ve kaydedilemez.

12 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi RevizyonTarihi Revizyon No Sayfa Yazılımı üzerinde, İdare ile arasında hukuki bir bağ olanlar dışında hiç kimseye doğrudan veya dolaylı olarak kişisel sağlık verilerine erişim hakkı verilmez. Yazılım üzerinde, sağlık hizmeti sunumuna katılan personele sadece hizmet sunumu gereği kadar veri ve bilgiye erişebileceği düzenlemeler yapılmış olmalıdır. 5.5 Yazılım ile toplanan kişisel sağlık verileri, veri öznesi, SGK, kişilerin özel sigorta şirketleri ile yapmış oldukları sözleşme kapsamı ile sınırlı olmak üzere bu şirketler, Sağlık Bakanlığı ve İl Sağlık Müdürlükleri dışında hiçbir surette üçüncü taraflarla paylaşılamaz. Yasalarla öngörülen istisnalar saklıdır. 5.6 İdarece belirlenen bilgisayar, donanım, yazılım ve bilgi teknolojileri ile ilgili asgari şartlara uyulur. 5.7 Yazılımda, vatandaşlara ait veriler dahil tüm verilerinin gizlilik, bütünlük, güvenlik, erişilebilirlik ve mahremiyetini sağlamak amacıyla yazılım üreticisi gerçek ya da tüzel kişi Anayasa, Yasalar, Yönetmelikler, Yönerge, Tebliğ, Genelge ve diğer alt mevzuat ile Genel Toplumsal değerlere, dürüstlük ilkelerine aykırı hiçbir işlem tesis edemez. 5.8 Yazılım, web servisleri, web siteleri, e-posta, Sabit Diskler, Taşınabilir Diskler, kağıda yazdırılmış veri ve bilgiler vb aracılığıyla ya da sözlü olarak SGK, kişilerin özel sigorta şirketleri ile yapmış oldukları sözleşme kapsamı ile sınırlı olmak üzere bu şirketler, İdare ve/veya İl Sağlık Müdürlüğünün sağlamış olduğu sunucu bilgisayarlar haricinde başka sunucu bilgisayar(lar)daki veri tabanı yönetim sistemlerine, görevi gereği bu verilere erişim hakkı bulunan gerçek ya da tüzel kişiler haricindeki diğer kişilere ait sistemlere kimlik ve kişisel sağlık verilerinin aktarılması ve/veya kaydedilmesi yasaktır. 5.9 Herhangi bir vatandaşa ait kişisel verileri ile kişisel sağlık verilerinin SGK, kişilerin özel sigorta şirketleri ile yapmış oldukları sözleşme kapsamı ile sınırlı olmak üzere bu şirketler, İdarenin sunucuları haricindeki sunucu bilgisayarlara kaydedildiğinin bağımsız ve yetkili, en az üç kişiden oluşan bir teknik ekip tarafından tespit edilmesi halinde, yazılım tedarikçisine yazılı tebligatta bulunulur ve mümkün olan en kısa süre içerisinde ihlal şartları ortadan kaldırılarak bu yazılımın kullanımına en kısa zamanda son verilir Mevzuata aykırı davrandığı tespit edilenler ile kişisel sağlık verilerini hukuka aykırı olarak işleyenler (otomatik olup olmadığına bakılmaksızın, kişisel verilerin ve kişisel sağlık verilerinin toplanması, kaydedilmesi, organize edilmesi, depolanması, uyarlanması veya değiştirilmesi, geri erişimi, konsültasyonu, kullanılması, iletim yoluyla açıklanması, yayılması veya diğer herhangi bir şekilde kullanılır halde bulundurulması, sıralanması veya kombinasyonu, bloke edilmesi, silinmesi veya yok edilmesi)hakkında yasal işlem başlatılır İdare söz konusu yazılımın kullanımdan kaldırılması için her tür haber verme ve duyuru yolunu kullanabilir İdare, bilgi güvenliği ihlali halinde en kısa zamanda gizlilik, güvenlik, bütünlük ve mahremiyetin korunması şartlarını ve İdarece yayımlanan mevzuat gereklerini sağlayan başka bir yazılım edinir Yazılım ekranlarında hiçbir surette gerçek ya da tüzel kişi, ürün ya da hizmete dair reklam nitelikli unsurlara yer verilemez, hiçbir ürün ya da hizmetin satışı, satışının teşviki, ürün ya da hizmete doğrudan ya da dolaylı yönlendirme yapılamaz Hizmet Alan veri tabanında yer alan hiçbir kayıt üzerinde hak iddia edemez. Yazılım kullanım sözleşmesi herhangi bir nedenle sona erdirildiğinde idarenin kendi sunucu ve kullanıcı bilgisayar(lar)ında tutulan tüm veriler bir başka yazılıma, (kapsamı idare tarafından belirlenmek üzere) aktarılabilecek bir formatta, veri miktarına uygun bir medya ile ve bir tutanak ile Genel Müdürlüğe Teslim edilir Yazılım bakım, güncelleme ve teknik destek hizmetleri, (Varsa) öncelikle destek

13 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi RevizyonTarihi Revizyon No Sayfa 4 elemanları aracılığıyla karşılanmaya çalışılır. Sistemi tümüyle çalışmaz hale getiren bir arıza gibi zorunluluk halinde İdarenin vereceği tek kullanımlık şifre ile belirli bir süre zarfında yani geçici süreli olarak erişim hakkı verilebilir İdare, yazılım tedarikçisi tarafından kendisine sağlanan yazılımı ve bu yazılıma ait ticari sır niteliğindeki hiçbir bilgiyi üçüncü taraflarla paylaşamaz Yazılımı içerisinde, sağlık hizmeti sunumu amacını aşan ve bilimsel literatür haricinde kalan hiçbir veri/bilgi otomatik şekilde işlenemez Hizmet Alan tarafından Resmi Yazı, Resmi yazı faksı ve iş bu sözleşmede belirtilen kurumsal e-posta hesabı üzerinden gelen taleplere karşılık Genel Müdürlük tarafından sunulan hizmetler ve bu hizmetler kapsamında elde edilen her türlü hak, imtiyaz, erişim ve veri için de iş bu sözleşme ile belirlenen hükümler geçerlidir. 6. İstisnalar Hizmet Alan, İdareden alacağı bilginin; a. İşbu sözleşmenin hükümlerini ihlal etmeyen ve kamuoyuna mal olmuş ya da olacak türden olması durumunda, b. Açıklanması İdare tarafından kesin yazılı onay ile mümkün kılınmış olan bilgi olması halinde, c. Yüklenici tarafından gerekliliğinin önceden idareye yazılı olarak bildirilmesi ve onayının alınması sonucunda bütünüyle işbirliğinin sağlanmış olması halinde, d. Herhangi bir kanuna, mahkeme kararına ya da hükmüne dayanılarak açıklanmak zorunda kalınan bilgi olması halinde ancak belirtilen mahkeme kararı ile sınırlı olmak kaydıyla, öğrendiği bilgiyi, belgeyi, veriyi, kaydı gizli tutmak zorunda değildir. 7. Mülkiyet Hakkı İdare tarafından Hizmet Alana sağlanan bilgiyi Hizmet Alan, kullanma izni çerçevesinde veya başka suretle herhangi bir lisans, marka, patent ya da buna benzer bir fikri mülkiyet hakkı tesisine konu edemez. Söz konusu bilgi üzerinde mutlak mülkiyet hakkı İdareye aittir. Dolayısıyla, İdare tarafından Gizli Bilgi'nin Hizmet Alana sağlanması, hiçbir surette Hizmet Alana böyle bir hak sağlamayacaktır. 8. Yükümlülükler 8.1. Taraflar, yazılı veya sözlü olarak aldıkları gizli bilgilerle ilgili olarak aşağıdakileri kabul etmektedir ve bünyeleri altında faaliyet gösteren diğer tüm personelin ("Temsilciler") de aşağıdaki yükümlülüklere uymasını sağlayacaktır: 8.2. Taraflardan her biri, gizli bilgileri yalnızca sağlık hizmet sunumu ve hizmetin kapsam ve niteliğinin geliştirilmesi amacı için kullanacaktır. Taraflardan her biri, gizli bilgileri başka herhangi bir amaçla, özellikle de bir diğer Taraf aleyhine doğrudan veya dolaylı zarar verecek herhangi bir şekilde kullanmayacaktır Taraflardan her biri, gizli bilgileri tamamen ve titizlikle gizli tutacak ve iş amacıyla bu bilgilere ihtiyaç duyan temsilcileri dışında herhangi bir şahsa kısmen veya tamamen ifşa etmeyeceklerdir. Temsilcilerine, gizli bilgilerin gizlilik niteliğini ve işbu Sözleşme gereği bu bilgilerin gizli tutulmasından sorumlu olduklarını bildirecekler ve Temsilcileri de akdi olarak bu bilgilerin gizli tutulması ile yükümlü kılacaklardır Gizli bilgilerin bütün asılları İş'in sonunda derhal ilgili tarafa iade edilecek, iade edilemeyen bütün kopyalar ilgili tarafça onaylanacak şekilde yok edilecektir Taraflardan herhangi biri gizli bilgilerin gizlilik niteliği ve bu gizli bilgilerin kullanılabileceği amaçlar hakkında açıkça bilgi vermeyi; bu kişilerin kendilerinin işbu sözleşme

14 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi RevizyonTarihi Revizyon No Sayfa 5 ile taahhüt edilen yükümlülüklere tabi imişler gibi sorumluluklarına riayet etmelerinden mesul olmayı kabul eder Taraflar göstereceği asgari özenin kendisine ait bilgileri koruma hususunda gösterdiği özenden aşağı olmayacağını kabul eder. 9. Süre 9.1 İşbu sözleşme, imzalandığı tarihte yürürlüğe girecek ve İş'in tamamlanmasından sonra da süre sınırı olmaksızın geçerliliğini koruyacaktır. 9.2 Genel Müdürlüğün yeni bir Gizlilik Sözleşmesi yayınlaması ve yayınlanan yeni Gizlilik Sözleşmesinin Taraflarca imza altına alınması durumunda iş bu sözleşme hükümleri ortadan kalkacak ve yeni Gizlilik Sözleşmesi hükümleri geçerli olacaktır. 9.3 İş bu sözleşme 2(iki) orijinal metin olarak tanzim edilmiş olup her biri taraflardan birine saklanmak üzere teslim edilmiş olacaktır. 10 Tazminat İşbu sözleşme kapsamındaki yükümlülüklerin ihlal edilmesi ve ihlalin tespiti halinde, ihlal eden taraf diğer Taraf'ın bu yüzden uğrayacağı zararları ilk yazılı talep üzerine nakden ve defaten tazmin edecektir. 11 Yetkili Mahkeme İşbu Sözleşmeden doğacak uyuşmazlıklarda İdarenin bulunduğu yerdeki Mahkeme ve İcra Daireleri yetkili olacaktır. 12 Vergi Resim Harçlar Bu sözleşmenin imzalanmasıyla doğacak olan her türlü vergi, resim harç vb resmi giderler Yükleniciye ait olacaktır. Tarih: /./2015. (Firma ise dolduracak) Firma Ünvanı Ticaret Sicil No Vergi Dairesi ve No Firma Adresi Firma Kaşe Yetkili İmza Yetkili Onayı Yetkili kaşe imza Yetkili Onayı Kaşe İmza Mühür

15 PAROLA GÜVENLİĞİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 1 PAROLA GÜVENLİĞİ 1. Parola en az 8 karakterden oluşmalıdır. 2. Harflerin yanı sıra, rakam ve #, %, +, -, *, %" gibi özel karakterler içermelidir. 3. Büyük ve küçük harfler bir arada kullanılmalıdır. 4. Bu kurallara uygun parola oluştururken genelde yapılan hatalardan dolayı saldırganların ilk olarak denedikleri parolalar vardır. Bu nedenle parola oluştururken aşağıdaki önerileri de dikkate almak gerekir. 5. Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin , asdfghjk, doğum tarihi, çocuğun adı, soyadı gibi) 6. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. 7. Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır. 8. Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir. 'B' yerine 8 'Z' yerine 2 'I', 'i', 'L' yerine 1 'O' harfi yerine 0 Örnek: Safranbolu 5@fr@n801u 'S' yerine 5 'G' yerine 6 'g' yerine 9 Tablo 1. Güçlü parola yöntemleri

16 PAROLA GÜVENLİĞİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 2 9. Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir. T, t yerine + 'Ş', 'ş' yerine '$' "kar", "yıldız" yerine»*» "dolar", "para" yerine $ "Soru" yerine? "gibi" yerine ~ "gül" yerine :) "eksi" yerine - "bir", "tek" yerine 1 "yüz", "yüzde" yerine % 8 yerine S(ekiz) 6 yerine A(ltı) D yerine 4 (Dört) B yerine 5 (Beş) Uç yerine 3 (Üç) Örnekler: Dün Kar Yağmış yerine Dün*Yağm1$ Şeker gibi bir soru sordu yerine $eker~1?sordu Tek eksiğim bir güldü yerine 1-ğim1:)dü Yüzeysel bir soru eşittir 0 puan yerine %eysel1?=0puan Uçan kuşa borcum var yerine 3anku$a5orcumV6r Tablo 2. Güçlü parola yöntemleri

17 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ PERSONEL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 1 İşbu sözleşme, Adana Valiliği Halk Sağlığı Müdürlüğü (bundan sonra Müdürlük olarak adlandırılacaktır) ile aşağıda kimlik bilgileri yazılı kişi arasında (bundan sonra Personel olarak adlandırılacaktır). /./20... tarihinde, aşağıda yer alan kayıt ve koşullarda tespit edilen hükümler çerçevesinde akdedilmiştir. T.C. Kimlik No Adı Soyadı İkametgâh Adresi Telefon HÜKÜMLER 1. Personel; Müdürlük incelemesi projesi kapsamında edineceği verilerin gizliliğini ve güvenliğini sağlamak için; aşağıdaki kurallara uyacağının beyanı olarak, işbu sözleşmeyi imzalayacaktır. 2. Personel; T.C. Sağlık Bakanlığı Bilgi Güvenliği Politikalarına ve Kılavuzda yer alan koşullara uygun hareket edecektir. 3. Personel işbu sözleşme hükümlerine uygun davranmaktan, bunun ihlali durumunda Müdürlüğe vereceği zararlardan sorumludur. 4. Personel bu sözleşmeyi ihlal etmesi sonucu doğacak tüm kanuni ve hukuki sorumluluğu peşinen kabul eder. 5. Personel, Müdürlüğün bilgi güvenliğini sağlamak için kullandığı ilgili politika ve prosedürlere uygun davranacaktır, geliştirilen dokümanlarda istenen sorumlulukları eksiksiz yerine getirecektir. 6. Personel; hizmet verirken kendisine teslim edilmiş olan Müdürlüğün verilerini, sadece kendisi kullanacak ve gerekli olması durumunda yetkisi olan diğer kişilerle paylaşacak; bunlar dışında başkaları ile kesinlikle paylaşmayacaktır. Bilgi paylaşılabilecek kişiler konusunda şüpheye düşülmesi durumunda; Bilgi Güvenliği Birimi ile irtibata geçerek, kimlerle veriyi paylaşabileceğini teyit edecektir. 7. Personel, özel olarak yetkilendirilmemişse; proje dâhilinde yetkisi olmayan kişilere, konum itibarı ile kendisinden üst pozisyonda bile olsa, hizmet verilen tarafların yetkilileri de dâhil olmak üzere, hiç bir şekilde proje ile ilgili bilgi vermeyecektir. Kendisinden ısrarla bilgi talep edilmesi halinde, Bilgi Güvenliği Birimine durumu raporlayacaktır. 8. Personel; proje kapsamında kendisine teslim edilmiş olan her türlü verinin gizli olduğunu kabul etmeli ve korumalıdır. 9. Proje verileri ile ilgili konular, yetkisi olmayan 3. şahısların yanında konuşulmamalıdır.

18 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ PERSONEL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa Personel; hizmet süresince edindiği bilgiler gizli olarak nitelendirileceğinden; bunları kesinlikle kendi menfaatlerine veya başkalarının menfaatine hizmet edecek şekilde kullanmayacaktır. 11. Müdürlüğün veya hizmet verilen teşkilata ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanl ar, bilgisayar ve telekomünikasyon sistemleri, donanım-yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin proje kapsamında çalışma süreleri içerisinde yapmış oldukları tüm işler gizlidir ve Kurumun mülkiyeti altındadır. Bu tür doküman, bilgi veya araçların, izin verilen ve Kurumdaki görevin gerektirdiği durumlar haricinde, kişisel ve özel çıkarlar için veya üçüncü şahıslar, kurum ve kuruluşlar yararına, Müdürlükte çalışılan süre içinde veya daha sonrasında kullanılması kesinlikle yasaktır. 12. Personel; görevi ile ilgili olsun veya olmasın proje kapsamında Kurum'da edindiği gizlilik arz eden her türlü bilgiyi sır olarak saklamak ve bunları üçüncü şahıslara inceletmemek, söylememek, iletmemek, açıklamamakla yükümlüdür. Öğrendiği sırları veya bilgileri ve bunlara ilişkin belgeleri yetkileri olmayan kişilere ve makamlara açıklayamaz ve veremez. Bu yükümlülük personelin Kurum ile ilişkisinin sona ermesi halinde de devam eder. 13. Personel, gerçekleştirilen çalışma ile Müdürlükte edindiği bilgiler hakkında; her ne sebeple olursa olsun hiçbir surette sözlü, yazılı ve görsel basına açıklama yapamaz. Müdürlüğün yazılı izni olmadıkça, bu bilgiler hakkında fotoğraf, yazı, makale, tebliğ, rapor gibi yazılı belge yayınlayamaz, seminer, panel gibi toplantılarda konuşmacı olamaz. 14. Personel; proje kapsamında erişim hakkını aldığı sistemleri ve bilgileri yetkisi içinde ya da yetkisini aşarak kendisine ya da bir başkasına çıkar sağlamak amacıyla kullanamaz. 15. Personel; bu bilgi işleme sistemlerinden programları, verileri veya diğer herhangi bir unsuru hukuka aykırı olarak ele geçirme, değiştirme, silme girişiminde bulunamaz ve bunları her ne sebeple olursa olsun kullanamaz, nakledemez veya çoğaltamaz. 16. Personel; başkasına zarar vermek, kendisine veya başkasına yarar sağlamak maksadıyla veya hiçbir maksadı olmadan, proje ile ilgili bilgi işleme sistemlerini veya verileri ya da diğer herhangi bir unsuru kısmen veya tamamen tahrip etmek, değiştirmek, silmek, sistemin işlemesine engel olmak veya yanlış biçimde işl emesini sağlamak gibi davranışlarda bulunamaz. 17. Personel, Müdürlüğün bilgisi ve onayı dışında, projede kullanılan veriler ve sistemler üzerinde hiçbir sebeple ve suretle değişiklik yapamaz. 18. Personel hangi amaçla (kişisel veya işle ilgili) olursa olsun; proje kapsamında Müdürlük de edindiği bilgileri, projede kullanılan çeşitli şekillerde (basılı, manyetik vb.) bulunabilecek olan verileri, yetkisiz ve izinsiz olarak kullanamaz, kopyalayamaz, taşıyamaz, mail vb. şekilde iletemez. 19. Personele, Müdürlük tarafından verilen ya da tanımlanan şifreyi/şifreleri hiç kimseyle paylaşamaz, kurumdan

19 ADANA HALK SAĞLIĞI MÜDÜRLÜĞÜ PERSONEL GİZLİLİK SÖZLEŞMESİ Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa 3 ayrılması halinde şifremi/şifreleri iptal ettirecektir, kullandığı bilgisayar ve/veya diğer elektronik veri depolama cihazlarında oluşturduğu veri, bilgi ve belgeler dahil tüm belgeleri, cihazları ve ofis malzemelerini eksiksiz olarak kurum yetkilisine teslim edecek ve hiçbir kopyasını almayacaktır. 20. Müdürlüğün yeni bir Gizlilik Sözleşmesi yayınlaması ve yayınlanan yeni Gizlilik Sözleşmesinin Müdürlük ve Personel tarafından imza altına alınması durumunda iş bu sözleşme hükümleri ortadan kalkacak ve yeni Gizlilik Sözleşmesi hükümleri geçerli olacaktır. 21. Personel tarafından Resmi Yazı, Resmi yazı faksı ve iş bu sözleşmede belirtilen kurumsal e -posta hesabı üzerinden gelen taleplere karşılık Müdürlük tarafından sunulan hizmetler ve bu hizmetler kapsamında elde edilen her türlü hak, imtiyaz, erişim ve veri için de iş bu sözleşme ile belirlenen hükümler geçerlidir. 22. İşbu sözleşme iki nüsha olarak kayıt altına alınacaktır, bir nüshası Kurum'un İnsan Kaynakları biriminde saklanırken, diğer nüshası personelin bağlı olduğu Birim Yönetimi tarafından saklanacaktır. 23. Müdürlük fiziki çalışma alanlarında çalışıyorsa çalışma süresi sona erdiğinde ya da kurumdan ilişiği kesildiğinde Müdürlük İşten Ayrılma Formunu doldurup ilgili birim sorumlusuna teslim edecektir. Yukarıda sayılan kurallardan bir ya da birkaçının ihlali ve tespiti durumunda, güvenlik ihlaline yol açan kullanıcı hakkında Müdürlük tarafından işlem başlatılacaktır. İhlalin ciddiyetine göre yaptırımlar uygulanacaktır. Ciddi ihlaller kullanıcının dava edilmesine yol açacaktır. Ben, Adana Halk Sağlığı Müdürlüğüne hizmet vermekte olan bir personel olarak yukarıda yazılı hükümleri okuduğumu, anladığımı ve buralarda geçen şartlara uyacağımı, uymadığım durumlarda Adana Halk Sağlığı Müdürlüğü nün alacağı kararları kabul ve beyan ederim. İmza tarihi:. /./20... T.C. Kimlik No Adı, Soyadı Cep Telefonu E-posta Adresi Çalıştığı Firma/Kurum Hangi Proje / Birim Kapsamında Proje / Sözleşme Bitiş Tarihi İmza İLGİLİ PERSONELİN Yetkili Onayı (Kişinin bağlı olduğu Firma / Kurum yetkilisi kaşe &imza ) Yetkili Onayı (Projenin yürütüldüğü Birim imza) Yetkili Onayı ( Projenin yürütüldüğü Birimin İlgili Müdür Yardımcısı imza)

20 SOSYAL MÜHENDİSLİK Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa SOSYAL MÜHENDİSLİK Sosyal Mühendislik Zafiyetleri Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanmaktadır. Başka bir tanım ise; insanoğlunun zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar. 1. Taşınan ve işlenen verilerin öneminin bilincinde olunmalıdır. 2. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararlar düşünülerek hareket edilmelidir. 3. Arkadaşlarla paylaşılan bilgiler seçilirken dikkat edilmelidir. 4. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgiler paylaşılmamalıdır. 5. Şifre kişiye özel bilgidir. Sistem yöneticisi dahil telefonda veya e-posta ile şifre paylaşılmamalıdır. Sistem yöneticisi gerekli işlemi şifreye ihtiyaç duymadan da yapabilmelidir. 6. Oluşturulan dosyaya erişecek kişiler ve hakları bilmesi gereken prensibine göre belirlenmelidir. 7. Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. 8. Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. 9. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. 10. Güvenli olmayan dosya paylaşım yazılımları kullanılmamalıdır. 11. Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır. 12. Kurum içi bilgiler sosyal medyada paylaşılmamalıdır. 13. Kuruma ait hiçbir gizli bilgi, yazı sosyal medyada paylaşılmamalıdır.