ADIYAMAN İL SAĞLIK MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ POLİTİKASI

Transkript

1 1) AMAÇ Adıyaman İl Sağlık Müdürlüğü bilgi güvenliği politikası; bilginin bir kurumun en değerli hazinesi olmasından hareketle, bilginin bir varlık olarak hasarlardan korunmasını; doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda istenmeyen kişiler tarafından elde edilmesinin önlenmesini; kurumdaki işlerin sürekliliğinin sağlanması; işlerde meydana gelebilecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlamayı amaçlamaktadır. Bilgi güvenliği politikası; hangi formda olursa olsun bilginin mutlaka uygun bir şekilde korunmasını amaçlamaktadır. Bu amacın gerçekleştirilebilmesi; bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin yeterli düzeyde sağlanabilmesi ile mümkündür. Bilgi güvenliği politikası bu noktada; - Bilginin yetkisiz kişilerin erişimine kapalı olmasının sağlanması, bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesi ile gizlilik hedefine; - Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasının sağlanması ile bütünlük hedefine; - Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olmasının sağlanması, bu erişimin kullanıcının hakları çerçevesinde olmasının sağlanması ve bilgi kaynağına yetkili olduğu zaman diliminde erişilebilmesinin sağlanması ile erişilebilirlik(süreklilik, kullanılabilirlik) hedefine ulaşmayı amaçlamaktadır. Adıyaman İl Sağlık Müdürlüğü bilgi güvenliği politikası bu hedeflere ulaşılması konusunda bilgi güvenliği komisyonuna ve kurum personeline T.C. Sağlık Bakanlığı misyon ve vizyonuna bağlı kalarak rehberlik etmeyi hedeflemektedir. 2) KAPSAM Adıyaman İl Sağlık Müdürlüğü bilgi güvenliği politikası Adıyaman İl Sağlık Müdürlüğü bünyesindeki tüm personel ile kendilerine herhangi bir nedenle Adıyaman İl Sağlık Müdürlüğü bilişim kaynaklarını kullanma yetkisi verilen paydaş ve misafir kullanıcıları, bilgi sistemleri unsurlarını, insan kaynaklarını, bilgi sistemleri ile ilgili mal ve hizmet alımlarındaki güvenlik unsurlarını, hizmet sağlayıcıları, sistem, veri ve bilgi kullanıcılarını kapsamaktadır. 1

2 3) HEDEF Bilgi güvenliği politikası doğrultusunda kurum bünyesinde insan kaynakları ve zafiyetleri yönetimi, parola güvenliği, bilgi kaynakları atık ve imha yönetimi, ihlal bildirimi ve yönetimi, internet ve elektronik posta güvenliği, mal ve hizmet alımı güvenliği, sosyal mühendislik zafiyetleri ve sosyal medya güvenliği alt başlıklarında etkin ve etkili bir yönetimin sağlanması hedeflenmektedir. Kurulacak bilgi güvenliği organizasyonunun etkin izleme ve değerlendirme faaliyetleriyle bilgi güvenliği politikalarının verimli bir şekilde uygulanması sağlanacak ve yapılacak bilgi güvenliği eğitimleriyle tüm kurum personelinin bilgi güvenliği konusunda farkındalığı arttırılacaktır. 4) ORGANİZASYON Adıyaman İl Sağlık Müdürlüğü bünyesinde bilgi güvenliği politikasının uygulanmasını sağlayacak organizasyonun temel bacaklarını bilgi güvenliği yetkilisi ve bilgi güvenliği komisyonu oluşturacaktır. Bilgi güvenliği yetkilisi; kurumdaki bilgi güvenliği faaliyetlerini T.C. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü ile koordineli bir şekilde yürütecek, ihlal bildirimlerinin değerlendirilmesini sağlayacak ve ilgili politikaları yürütecektir. Bilgi güvenliği komisyonu; bilgi güvenliği politika ve stratejilerini belirleyecek, bilgi güvenliği politikalarının uygulanmasının etkinliğini ölçecek, bilgi güvenliğini faaliyetlerinin yürütülmesinde rehberlik yapacak, bilgi güvenliği eğitimi ve farkındalığını sağlamak için plan ve programlar hazırlayacak ve bilgi güvenliği faaliyetlerini koordine edecektir. 2

3 5) İNSAN KAYNAKLARI VE ZAFİYETLERİ YÖNETİMİ Görevden ayrılan personel zimmetinde bulunan malzemeleri teslim etmelidir. Personel görevden ayrıldığında veya personelin görev yeri değiştiğinde elindeki bilgi ve belgeleri teslim etmelidir. Personelin görevden ayrıldığı, insan kaynakları birimi tarafından ilgili birimlere iletilmelidir. Kullanıcıya tanımlanan kullanıcı hesapları iptal edilmelidir. Görevden ayrılan personelin kurumla ilişkili personel kimlik kartı gibi kurumla ilgili kartları ve belgeleri teslim alınmalıdır. İşe başlayan personele kurumun bilgi güvenliği politikası tebliğ edilmelidir. İşe başlayan personel ile ilgili işe başlama formu doldurulmalıdır. İşten ayrılan personel ile ilgili işten ayrılma formu doldurulmalıdır. Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır. Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. ÇKYS üzerinden kişiyle ilgili bir işlem yapıldığında(izin kağıdı gibi) ekranda bulunan kişisel bilgilerin diğer kişi veya kişilerce görülmesi engellenmelidir. Diğer kişi, birim veya kuruluşlardan telefonla ya da sözlü olarak çalışanlarla ilgili bilgi istenilmesi halinde hiçbir suretle bilgi verilmemelidir. İmha edilmesi gereken (müsvedde halini almış ya da iptal edilmiş yazılar vb.) kağıt kesme makinesinde imha edilmelidir. 3

4 6) PAROLA GÜVENLİĞİ Bütün kullanıcılar bilgisayarlarında ve parola ile girilebilen uygulamalarda, güvenlik seviyesi yüksek bir parola oluşturmalıdırlar. Parolalar en az sekiz karakterden oluşmalıdır. Parolalar büyük ve küçük harflerin yanı sıra rakam ve #, %, +, -, *, %" gibi özel karakterler içermelidir. Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin doğum tarihi, ad, soyad veya aile bireylerine ait isimler gibi bilgiler kullanılmamalıdır.) Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır. Parolalar sıklıkla değiştirilmelidir. Yapılan işin niteliğine göre 30,60,90 veya 120 günde bir parolalar değiştirilmelidir. Parolanın başkasının eline geçtiği düşünülürse parola derhal değiştirilmelidir. Her türlü şifre, yetkisiz kişilerin erişebileceği şekilde korumasız bir şekilde kağıt üzerinde veya elektronik ortamda bırakılmamalıdır. Üye olunan her bir hizmet ve kullanılan sistem için farklı bir parola kullanılmalıdır. Programların parola hatırlatma özellikleri mümkün mertebe kullanılmamalıdır. Bilgisayar açılış parolası mutlaka olmalı ve hatırlatma cümlesi olarak parolanın kendisi yazılmamalıdır. 4

5 7) BİLGİ KAYNAKLARI ATIK VE İMHA YÖNETİMİ Adıyaman İl Sağlık Müdürlüğü birimleri kendi bünyelerinde oluşturacakları arşivden sorumludur. Evrakların idari ve hukuki hükümlere göre belirlenmiş Evrak Saklama Planına uygun olarak muhafaza edilmesi gerekmektedir. Yasal bekleme süreleri sonunda tasfiyeleri sağlanmalıdır. Burada Özel ve Çok Gizli evraklar Devlet Arşiv Hizmetleri Yönetmeliği hükümleri gereği oluşturulan Evrak İmha Komisyonu ile karar altına alınmalı ve imha edilecek evraklar kırpılarak veya yakılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır. Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli sayılı Resmi Gazete de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların kontrolü yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. Komisyonca koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir. İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir. Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır. Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara data imha tutanağı düzenlenmeli ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin data-imha tutanağı düzenlenmelidir. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır. Tamamen tahrip edilememiş disk parçaları delme, kesme makineleri ile kullanılamaz hale getirilmelidir. Hacimsel küçültme işlemi için parçalanmalıdır. Son ürünlerin gruplar halinde fotoğraflanarak ilgili kişi ve/veya kuruma iletilmesi gereklidir. Çıkan metallerin sınıflarına göre ayrılarak, biriktirildikten sonra eritme tesislerine iletilmesi gerekmektedir. 5

6 8) İHLAL BİLDİRİM VE YÖNETİMİ Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında mutlaka ihlal bildirim formu doldurulmalıdır. İhlal bildirim formu Bilgi Güvenliği Yetkilisine ulaştırılmalıdır. Bilgi Güvenliği Yetkilisi iletilen ihlali değerlendirmeli ve gerekli işlemleri yapmalıdır. Güvenlik olayının oluşması durumunda olay anında raporlanmalıdır. Güvenlik ihlaline neden olan çalışanlar ve üçüncü taraflarla ilgili resmi bir disiplin sürecine başvurulmalıdır. Bilgi sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları, tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf edecek tedbirler alınmalıdır. Güvenlik ihlallerinden kurtulmak için gereken eylemler, sistem hatalarının düzeltilmesi hususları dikkate alınmalıdır. Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir. Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde kurum; personel yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir: o o o o Uyarma, Kınama, Para cezası, Sözleşme feshi. 6

7 9) İNTERNET VE ELEKTRONİK POSTA GÜVENLİĞİ Şüpheli olduğu düşünülen internet sitelerine girilmemelidir. Kurum bilgisayarları üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır. İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilmemeli ve kurum sistemleri üzerine bu yazılımlar kurulmamalıdır. İş ile ilgili olmayan yüksek hacimli dosyalar (müzik, video dosyaları gibi) gönderilmemeli ve indirilmemelidir. Bilinmeyen veya şüpheli kaynaklardan dosya indirilmemelidir. Hiçbir kullanıcı P2P bağlantı yoluyla internetteki servisleri kullanmamalıdır. Üçüncü şahısların kurum içerisinde interneti kullanmaları bilgi işlem izni dahilinde gerçekleştirilmelidir. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz. İş dışı konulardaki haber grupları kurumun e-posta adres defterine eklenemez. Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara SPAM, phishing mesajlar göndermek için kullanılamaz. Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez. İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta adresi bu mesajlarda kullanılamaz. Ancak iş gereği üye olunması yararlı internet haber grupları için yöneticisinin onayı alınarak kurumun sağladığı resmi e-posta adresi kullanılabilir. Hiçbir kullanıcı, gönderdiği e-posta adresinin kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz. E-posta gönderiminde konu alanı boş bir e-posta mesajı gönderilmemelidir. Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve bu e-postalar silinmelidir. E-postaya eklenecek dosya uzantıları.exe,.vbs veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip veya rar formatında) mesaja eklenmelidir. 7

8 Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir. Kullanıcı, kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajları göndermemelidir. Bu tür özelliklere sahip bir mesaj alındığında sistem yönetimine haber verilmelidir. Kullanıcı hesapları, doğrudan ya da dolaylı olarak ticari ve kâr amaçlı olarak kullanılmamalıdır. Diğer kullanıcılara bu amaçla e-posta gönderilmemelidir. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında başkalarına iletilmeyip, sistem yönetimine haber verilmelidir. Spam, zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt verilmemelidir. Kullanıcı, e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) göndermemelidir. Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur. Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir. Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın sistem yönetimine haber vermelidir. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar sistem yönetimine haber verilmelidir. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının kırıldığını fark ettiği anda sistem yönetimine haber vermelidir. 8

9 10) MAL VE HİZMET ALIM GÜVENLİĞİ Mal ve hizmet alımlarında ilgili kanun, genelge, tebliğ ve yönetmeliklere aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde gerekli güvenlik düzenlemeleri teknik şartnamelerde belirtilmelidir. Belirlenen güvenlik gereklerinin karşılanması için aşağıdaki maddelerin anlaşmaya eklenmesi hususu dikkate alınmalıdır: o Bilgi güvenliği politikası, o Bilgi, yazılım ve donanımı içeren kuruluşun bilgi varlıklarının korunması prosedürleri, o Gerekli fiziki koruma için kontrol ve mekanizmalar, o Kötü niyetli yazılımlara karşı koruma sağlamak için kontroller, o Varlıklarda oluşan herhangi bir değişimin tespiti için prosedürler; örneğin, bilgi, yazılım ve donanımda oluşan kayıp veya modifikasyon, o Anlaşma sırasında, sonrasında ya da zaman içinde kabul edilen bir noktada, bilgi ve varlıkların iade veya imha edildiğinin kontrolü, o Varlıklarla ilgili gizlilik, bütünlük, elverişlilik ve başka özellikleri, o Bilgilerin kopyalama ve ifşa kısıtlamaları ve gizlilik anlaşmalarının kullanımı, o Kullanıcı ve yönetici eğitimlerinin metodu, prosedürü ve güvenliği, o Bilgi güvenliği sorumluluğu ve sorunları için kullanıcı bilinci sağlama, o Uygun olduğu yerde personel transferi için hüküm, o Donanım ve yazılım kurulumu ve bakımı ile ilgili sorumluluklar, o Açık bir raporlama yapısı ve anlaşılan raporlama formatı, o Değişim yönetimi sürecinin açıkça belirlenmesi, o Erişim yapması gereken üçüncü tarafın erişiminin nedenleri, gerekleri ve faydaları, o İzin verilen erişim yöntemleri, kullanıcı kimliği ve şifresi gibi tek ve benzersiz tanımlayıcı kullanımı ve kontrolü, o Kullanıcı erişimi ve ayrıcalıkları için bir yetkilendirme süreci, o Korumanın bir gerekliliği olarak mevcut hizmetleri kullanmaya yetkili kişilerin ve hakları ile ayrıcalıkları gibi kullanımları ile ilgili olan bir bilgilerin bir listesi, o Erişim haklarının iptal edilmesi veya sistemler arası bağlantı kesilmesi için süreç, 9

10 o Sözleşme de belirtilen şartların ihlali olarak meydana gelen bilgi güvenliği ihlal olaylarının ve güvenlik ihlallerinin raporlanması, bildirimi ve incelenmesi için bir anlaşma, o Sağlanacak ürün veya hizmetin bir açıklaması ve güvenlik sınıflandırması ile kullanılabilir hale getirilmesini tanımlayan bir bilgi, o Hedef hizmet seviyesi ve kabul edilemez hizmet seviyesi, o Doğrulanabilir performans kriterlerinin tanımı, kriterlerin izlenmesi ve raporlanması, o Kuruluşun varlıkları ile ilgili herhangi bir faaliyetin izlenmesi ve geri alınması hakkı, o Üçüncü bir taraf tarafından yürütülen denetimler için sözleşmede belirtilen denetleme sorumlulukları hakkı ve denetçilerin yasal haklarının sıralanması, o Sorun çözümü için bir yükseltme sürecinin kurulması, o Bir kuruluşun iş öncelikleri ile uygun elverişlilik ve güvenilirlik de dahil olmak üzere hizmet sürekliliği gerekleri, o Anlaşmayla ilgili tarafların yükümlülükleri, o Hukuki konularla ilgili sorumlulukları ve yasal gereklerin nasıl karşılanması gerektiğinden emin olunmalıdır, (örneğin, veri koruma mevzuatı, anlaşma diğer ülkelerle ile işbirliği içeriyorsa özellikle farklı ulusal yargı sistemleri dikkate alınarak) o Fikri mülkiyet hakları (IPRs), telif hakkı ve herhangi bir ortak çalışmanın korunması, o Üçüncü tarafların alt yüklenicileri ile birlikte bağlılığı ve altyüklenicilere uygulanması gereken güvenlik kontrolleri, o Anlaşmaların yeniden müzakeresi ya da feshi için şartlar, o Taraflardan birinin anlaşmayı planlanan tarihten önce bitirmesi durumunda bir acil durum planı olmalıdır. o Kuruluş güvenlik gereklerinin değişmesi durumunda anlaşmaların yeniden müzakere edilmesi, o Varlık listeleri, lisanslar, anlaşmalar ve hakların geçerli belgeleri ve onlarla ilişkisi. Farklı kuruluşlar ve farklı türdeki üçüncü taraflar arasında yapılan anlaşmalar önemli ölçüde değişebilir. Bu nedenle; anlaşmalar, belirlenen tüm riskleri ve güvenlik gereklerini içerecek şekilde yapılmalıdır. Gerektiğinde güvenlik yönetim planındaki gerekli kontroller ve prosedürler genişletilebilir. 10

11 Bilgi güvenliği yönetimi dış kaynaklı ise anlaşmalarda üçüncü tarafın güvenlik garantisinin yeterliliğini nasıl ele alındığı anlaşmada belirtilmelidir. Risk değerlendirmede tanımlandığı gibi, risklerdeki değişiklikleri belirlemek ve başa çıkmak için güvenliğin nasıl adapte edileceği ve sürdürüleceği ele alınmalıdır. Mal ve hizmet alımları yapılırken kurumsal ve personel gizlilik sözleşmelerinin de sürecin bir parçası olması sağlanmalıdır. 11

12 11) SOSYAL MÜHENDİSLİK ZAFİYETLERİ VE SOSYAL MEDYA GÜVENLİĞİ Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanmaktadır. Başka bir tanım ise; İnsanoğlunun zaaflarını kullanarak istediğiniz bilgiyi, veriyi elde etme sanatına sosyal mühendislik denir. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanların zaaflarından faydalanıp, en çok etkileme ve ikna yöntemlerini kullanırlar. Taşıdığınız ve işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edilmelidir. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgileriniz paylaşılmamalıdır. Şifre kişiye özel bilgidir. Sistem yöneticiniz dahil telefonda veya e-posta ile şifrenizi paylaşmamalısınız. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapabilmelidir. Oluşturulan dosyaya erişecek kişiler ve hakları bilmesi gereken prensibine göre belirlenmelidir. Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır. Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır. Kurum içi bilgiler sosyal medyada paylaşılmamalıdır. Kuruma ait hiçbir gizli bilgi, yazı sosyal medyada paylaşılmamalıdır. 12