Sayfa 1 / 8 1- Amaç Madde 1-Bu Talimat Birliğimize bağlı sağlık tesislerinin bilişim kaynaklarının kullanımına ilişkin kural ve esasları belirler. 2- Kapsam Madde 2- Bu talimat kurum içinde görev alan tüm personelin her türlü bilişim ve iletişim araçları ile gerçekleştirdikleri faaliyetleri kapsar. Kurum bünyesinde görev yapan tüm kullanıcılar bu hükümlere uymak zorundadır. Misafir kullanıcılarda (Hasta, Hasta yakını, Ziyaretçiler vb.) bu kapsam dahilindedir ve tüm hükümlere uymak zorundadır. 3- Bilişim Kaynakları ve Kullanım Esasları Madde 3 -Genel Kullanım Kuralları 1) Bilgi işlem merkezleri, Birliğimize bağlı sağlık tesislerinin tüzel kişiliğini korumak ve sistemin güvenliğini sağlamak amacıyla, kanunlar ve bu Talimat hükümleri çerçevesinde kendisine bağlı tüm makinalarda gerek gördüğü anda her türlü hizmeti denetleyebilir, izleyebilir ve kısıtlayıcı önlemler alabilir. 2) Isparta İli Kamu Hastaneler Birliği liğine Bağlı Sağlık Tesislerinde Hastane Yöneticisi tarafından görevlendirilen yetkili kişiler, kullanıcıya haber vermeden yerinde veya uzaktan, kullanıcı bilgisayarlarına erişip güvenlik, bakım ve onarım işlerini yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel, bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez. 3) Kullanıcıların e-posta hesaplarında ve bilgisayarlarında yer alan belgelerin ve her türlü bilginin yayın haklarından doğabilecek hukuki sorumluluklar tümüyle kullanıcıya aittir. 4) Kullanıcılar, yerleşke ağı içerisinde belirlenen ağ merkezlerinin dışındaki uçlara, Bilgi işlem merkezinin bilgisi dışında Switch (Anahtar), Access Point, Yönlendirici (Router) ve benzeri cihazlar takıp uç çoklama işlemi yapamazlar. Kullanıcılar, birimleri içerisindeki ağ merkezinde ya da kendilerine ait olan uç arkasında İP çoğaltma işlemi yaparak, birçok bilgisayarı tek bir bilgisayar üzerinden internete çıkaramaz ve bilgisayarlarına Bilgi işlem merkezinin belirlediği İP grupları dışında İP numarası atayamazlar. 5) Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayardan kaynaklanabilecek kuruma veya kişiye yönelik saldırılardan (örnek: elektronik bankacılık vb.) sistemin sahibi sorumludur. 6) Kurumun bilgisayarları doğrudan ya da dolaylı olarak yasa dışı veya taciz olaylarında kullanılamaz.
Sayfa 2 / 8 7) Ağ güvenliğini tehdit edici faaliyetler de bulunulmamalıdır.(örnek :Sunuculara yetkisiz erişim istekleri, Dos Saldırısı, Sniffing, Spoofing, Port-network taraması vb.) 8) Kurum bilgileri kurum dışında üçüncü şahıslara bildirilemez. 9) Kullanıcılar kendilerine tahsis edilen veya kurum çalışmalarında kullanılan masa üstü ve dizüstü bilgisayarlarına Bilgi İşlem Merkezinin onayı olmaksızın herhangi bir çevre birimi bağlantısı yapamazlar (external harddisk vb. ). 10) Kullanıcıların kendilerine tahsis edilen veya kurum çalışmalarında kullanılan masa üstü ve dizüstü bilgisayarlar üzerinden ADSL Modem. 3g Modem vb. cihazlar aracılığıyla internet erişimi gerçekleştirmesi yasaktır. 11) Kurumda kullanılan cihaz, yazılım ve bilgiler izinsiz olarak kurum dışına çıkarılamaz. 12) Kurumun kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (dergi CD'leri veya internetten indirilen programlar vs.) kurmak ve kullanmak yasaktır. 13) Yetkisi olmayan personelin Kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır. 14) Kurumsal veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler Bakanlığımızın bu konudaki ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kâğıt ortamında üçüncü kişi veya kurumlara verilemez. 15) Personel kendilerine tahsis edilen veya kurum çalışmalarında kullanılan masa üstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin düzenli olarak farklı ortamlara (cd, dvd, usb. external harddisk vs.) yedeklenmesinden sorumludur. 16) Bilgisayarda oyun veya eğlence amaçlı programlar çalıştırılmaz ve kopyalanamaz. 17) Bilgisayar üzerinden resmi belgeler programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulamaz. 18) Kurumda Bilgi İşlem biriminin bilgisi olmadan (Web hosting servisi, e-posta servisi vb) sunucu nitelikli bilgisayar bulundurulamaz. 19) Birimlerde sorumlu Bilgi İşlem personeli ve ilgili teknik personel bilgisi dışında bilgisayar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profili vb. üzerinde mevcut yapılan düzenlemeler hiçbir surette değiştirilemez. 20) Gerekmedikçe bilgisayar kaynakları paylaşıma açılamaz, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilir. E-posta Kullanma Kuralları 1) Kurumun e-posta sistemi taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz. 2) Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir. 3) Kişisel kullanım için internetteki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır. 4) Spam, zincir, e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır. 5) Kullanıcıların kullanıcı kod/şifresini girmesini isteyen e-postaların sahte e-posta
Sayfa 3 / 8 olabileceği dikkate alınarak herhangi bir işlem yapmaksızın derhal silinmelidir. 6) Çalışanlar, e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler. 7) Çalışanlar mesajların yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım yetkisiz erişimlere karşı korunmalıdır. 8) Kullanıcıların kullanıcı kod/şifresini girmesini isteyen e-maillerin sahte a-mail olabileceği dikkate alınarak herhangi bir işlem yapılmaksızın derhal silinmelidir. 9) Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır. 10) Kurum çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesini ve okunmasını engellemekten sorumludur. 11) Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Bu tür mailler virüs, e-mail bombaları ve truva atı gibi Zararlı kodları içerebilir. 12) Kurum dışından güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır. 13) Elektronik postaların sık sık gözden geçirilmesi, gelen mesajların uzun süreli olarak genel elektronik posta sunucusunda bırakılmaması ve bilgisayardaki kişisel klasöre (personel folder) çekilmelidir. 14) Sağlık Bakanlığı çalışanları gönderdikleri, aldıkları veya sakladıkları e-maillerde kişisellik aramamalıdır. Yasadışı ve hakaret edici e-posta haberleşmesi yapılması durumunda yetkili kişiler önceden haber vermeksizin e-mail mesajlarını denetleyebilir ve kullanıcı hakkında yasal ve idari işlemler başlatabilir. 15) Kullanıcılar kendilerine ait e-posta adresinin şifre güvenliğinden ve gönderilen e- postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerinin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler. 16) Altı ay süre ile kullanılmayan e-posta kutuları Bilgi İşlem birimi tarafından kaldırılabilir. 17) Kurumdan ayrılan personel kurumsal e-posta sistemini kullanamaz. E-posta adresine sahip kullanıcının emekli olma, işten ayrılma vb. sebepleriyle kurumdaki değişikliğinin yetkililer tarafından Bilgi İşlem Merkezine en kısa zamanda bildirilmesi gerekmektedir. 18) Kullanıcılar başka bir sistemin e-posta sunucusunu veya başka bir kullanıcının e-posta hesabını, ilgili kişinin açık izni olmadan ileti gönderme amacıyla kullanamazlar. Kasıtlı olarak yetkisiz kullanım, başkalarının verilerini tahrip etme, kişisel bilgilere zarar verme, başkalarına ait çalışmaları bozmaya ve tahrip etmeye yönelik çalışmalar yapma gibi etkinliklerde bulunamazlar, ticari reklamlar ve haber duyuruları gibi istenmeyen iletiler gönderemezler. 19) Bilgi işlem merkezi tarafından verilen e-posta servisinde ekler filtreden geçirilmekte, spam (istenmeyen ileti) ve virüs gönderen bilgisayarların İP adresleri bloklanmakta ve " pif..ser..vbs" uzantılı e-posta ekleri otomatik olarak engellenmektedir. Bilgi işlem merkezi gerekli gördüğü hallerde bu dosya uzantılarını değiştirebilir veya yeni dosya
Sayfa 4 / 8 uzantısı ekleyebilir. Şifre Kullanım Kuralları 1) Bütün kullanıcı seviyeli şifreleri (örnek HBYS, e-posta. web vb.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her dört ayda birdir. 2) Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir. 3) Şifreler başkası ile paylaşılmamalı, kâğıtlar ya da elektronik ortamlara yazılmamalıdır. 4) Şifreleme küçük ve büyük karakterlere (örnek a-z A-Z), noktalama karakterlerine ve ayrıca özel karakterlere (örnek;0-9< >#$%&*0_+ =\{}[ :, <>'?,/)sahip olmalıdır. Şifre seçiminde Türkçe karakter (ı. ğ, ş. ç, ö, ü, İ, G. Ü. Ş. Ç. Ö) kullanılmamasına özen gösterilmelidir. 5) Şifreler en az 8 (sekiz) karakter uzunluğunda olmalıdır. 6) Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır. 7) Aile isimleri kullanılmamalıdır. 8) Herhangi bir kişiye telefonda şifre verilmemelidir. 9) E-posta mesajlarında şifre yazılmamalıdır. 10) Şifreler aile bireyleri ile paylaşılmamalıdır. 11) Şifreler işten uzakta olduğunuz zamanlarda iş arkadaşlarına verilmemelidir. 12) Bir kullanıcı adı ve şifresi birim zamanda birden çok bilgisayarda kullanılmamalıdır. 13) Bilişim Kaynaklarına erişim için kullanılan kullanıcı seviyeli şifreler ( HBYS, internet, Eposta vb.) kullanıcıların ulaşmak istedikleri bilgilere erişim izinlerinin olup olmadığının anlaşılmasını sağlayan bir kontrol aracıdır. Kullanıcı, hizmet hakkının sadece kendisinin olduğunu, bu hakkın kullanımına ilişkin özel ve gizli şifresini ve kullanıcı adım, başkasına kullandırmayacağını ve devredemeyeceğini, başkası tarafından öğrenilme kuşkusu dahi olsa derhal değiştireceğini, aksi takdirde yapılan tüm işlemlerin sorumluluğunun kendine ait olacağını, kendisi kullanmadığı iddiasında bulunmayacağını kabul eder. Anti-virüs Kullanım Kuralları 1) Anti-virüs yazılımı olmayan bilgisayarlar ağa bağlanmamalıdır. 2) Zararlı programları (örnek virüsler, solucanlar truva atı, e-mail bombaları vb.) kurum bünyesinde oluşturmak ve dağıtmak yasaktır. 3) Hiçbir kullanıcı herhangi bir sebepten dolayı anti-virüs programını sistemden kaldıramaz. İnternet Kullanım Kuralları 1) Bilgi İşlem Merkezi, kullanıcıların internet ortamındaki bazı zararlı sitelere erişimini engelleyebilir, denetleyebilir ve içerik yönünden bazı dosya tiplerinin ve programların (görüntü dosyaları, ses dosyaları, kazaa, e-donkey vb. programlar) kullanılmasına engel
Sayfa 5 / 8 olabilir. 2) Hiçbir kullanıcı peer-to-peer bağlantı yoluyla internetteki servisleri kullanamayacaktır.(örnek KaZaA, imesh, edonkey2000, Gnutella, Napster, Aimster, Madster, FastTrack, Audiogalaxy, MFTP, emule, Overnet, NeoModus, Direct Connect acquisition, BearShare, Gnucleus, GTK-Gnutella, LimeWire, Mactella, Morpheus, Phex, ûtella, Shareaza, XoLoX, OpenNap, WinMX vb). 3) Bilgisayar arası ağ üzerinden resmi görüşmeler haricinde Messenger, Skype, Tango vb. mesajlaşma ve sohbet programları gibi chat programları kullanılamaz, bu chat programları üzerinden dosya alışverişinde bulunulamaz. 4) Hiçbir kullanıcı internet üzerinden Multimedia Streaming yapamayacaktır. 5) Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinmek yasaktır. 6) İş ile ilgili olmayan (müzik video dosyası) yüksek hacimli dosyalar göndermek (upload) ve indirmek (download) yasaktır, iş ile ilgili olmayan müzik, video yayınlarının izlenmesi, dinlenmesi yasaktır. İşle ilgili olmayan, aşırı trafik oluşturduğu tespit edilen ve/veya sistem güvenliğini tehlikeye sokan sitelere erişim süreli ve/veya süresiz olarak sistemin stabil çalışması için kısıtlanabilir. 7) İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez ve Kurum sistemleri üzerine bu yazılımlar kurulamaz. Bilgisayar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilemez ve dosya indirimde bulunulamaz. 8) Bilgisayar İşletim Sistemleri için büyük ölçüde tehdit içeren internet üzerinden ekran koruyucu, masa üstü resimleri, yardımcı program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmesi/kopyalanması yasaktır. 9) Üçüncü şahısların kurum içerisinden internetini kullanmaları Bilgi İşlem merkezinin izni ve bu konudaki kurallar dâhilinde gerçekleştirilebilecektir. 10) Kurum, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir.
Sayfa 6 / 8 Sorumluluk, Uygulama ve Yaptırımlar Madde 4- Sağlık Bakanlığı Bilgi Güvenliği Politikaları gereği Bilişim Kaynakları kullanımı (yasaklama, erişime kapatma, yetki seviyesini ayarlama vb.) Sağlık Bakanlığı tarafından belirlenir. Kamu Hastaneleri İl liklerinde bu işlemler lik Bilgi Güvenliği Komisyonu eliyle yürütülür. Yetki konusunda hiçkimseye, hiçbir birime ve/veya makama yetki devredilemez ve imtiyaz tanınamaz. Talimatlara ve kanunlara aykırı etkinlikler dâhilinde kullanılması durumunda lik Bilgi Güvenliği Komisyonu tarafından incele raporu oluşturulur. Rapora istinaden birliğimize bağlı sağlık tesisleri yöneticilikleri gerçekleştirilen eylemin; Yoğunluğuna. Kaynaklara veya kişi / kurumlara verilen zararın boyutuna. Tekrarına Göre aşağıdaki işlemlerin bir ya da birden fazla maddesini, sıra ile ya da sırasız uygulayabilir; 1) Kullanıcı sözlü ve/veya yazılı olarak uyarılır. 2) Kullanıcıya tahsis edilmiş Bilişim Kaynakları sınırlı veya sınırsız süre ile kapatılabilir. 3) Kurum bünyesindeki idari soruşturma mekanizmaları harekete geçirilebilir. 4) Adli yargı mekanizmaları harekete geçirilebilir. 5) Kullanım ve Kullanıcı tanımlarının yetersiz kaldığı ya da "Bilişim Kaynakları Kullanım Politikaları" belgesi dâhilinde tanımlı olmayan durumlar Bilgi Güvenliği Komisyonu tarafından değerlendirilir. 6) Uygulanan Bilgi Güvenliği Yönetim Sistemi dokümantasyonu gerekliliklerine aykırı davranılması durumunda başta 657 Sayılı Devlet Memurları Kanunu Disiplin hükümlerine göre ve yaşanan olayın durumuna göre ilgili kanun ve yönetmeliklere göre hareket edilecektir. 7) 657 Sayılı Devlet Memurları Kanununa tabi olanlar aynı kanunun 125 maddesinde sayılan hükümlere göre değerlendirilecek olup 657 Sayılı Devlet Memurları Kanununun dışında kalan çalışanlar (Danışmanlar, Firma Personelleri) sözleşmelerinde belirtilen özel hükümlere göre, yoksa genel hukuk kuralları çerçevesinde hareket edilecektir. 8) BGYS gerekliliklerine uyulmaması tespit edildiği durumlarda tutanak tutularak T.C. Sağlık Bakanlığı Isparta İli Kamu Hastaneler Birliği liği ve/veya Bağlı Sağlık Tesislerinde oluşturulan Bilgi Güvenliği Komisyonuna havale edilir. 9) T.C. Sağlık Bakanlığı Isparta İli Kamu Hastaneler Birliği liği ve/veya Bağlı Sağlık Tesislerinde bulunan donanımlar kurumun malı olup bunlara verilecek zararlar kanun nezdinde suç teşkil eder. (Donanımın dış görünüşünü değiştirmek, bağlı parçaların bağlantı şeklini değiştirmek, parçaları çalmak veya çalmaya teşebbüs etmek.) Bu tür durumlar gerçekleştiğinde yetkili birim ve kişiler tarafından tutanak tutulur, disiplin soruşturması açılır. Ek olarak kullanıcı hesabı süresiz kapatılır. Kurum söz konusu davranışlarda bulunan kişiler hakkında yetkili makamlara şikâyette bulunur.
Sayfa 7 / 8 10) Disk alanında zararlı dosyalar bulundurulması durumunda kullanıcı hesabı süresiz kapatılır ve dosyalar silinir. 11) Başkalarının alanlarına erişilmesi durumunda kullanıcı hesabı süresiz kapatılır, kanuni süreç başlatılır, disiplin soruşturması açılır. 12) Her türlü kişisel şifreyi paylaşmak disiplin soruşturması gerektirir. Şifresini paylaşan her türlü sorumluluğu kabul etmiş sayılır. 13) Başkasının e-posta hesabını kullanılması durumunda kullanıcı hesabı süresiz kapatılır. 14) Hakaret içerikli e-posta gönderilmesi durumunda kullanıcı hesabı süresiz kapatılır, kanuni süreç başlatılır, disiplin soruşturması açılır. 15) Kurum tarafından sağlanan e-posta hizmeti kullanılarak devlet sırrı niteliğindeki her türlü bilgi ve evrak, Knowhow üçüncü şahıslarla paylaşılması durumunda kanuni girişimlerde bulunulur ve disiplin prosesi başlatılır. 16) Bunun dışındaki kural ihlallerinde en fazla iki uyarı yapılır. Tekrarlanması durumunda disiplin soruşturması açılır. 17) Sistem ve ağ güvenliğinin ihlal edilmesi yasaktır, cezai ve hukuki mesuliyetle sonuçlanabilir. Bilgi Güvenliği Birimi bu tür ihlallerin söz konusu olduğu durumları inceler ve eğer bir suç oluştuğundan şüphe duyulursa yasa uygulayıcı ile işbirliği yapar. 18) Kullanım Politikasını kabul eden taraf, T.C. Sağlık Bakanlığı Isparta İli Kamu Hastaneler Birliği liği ve/veya Bağlı Sağlık Tesislerinde yukarıdaki maddelerde belirlenen kurallara uygun kullanımının, kullanıcının kişilik hakları saklı kalmak üzere, kontrol edebileceğinden haberdardır ve bunu açıkça kabul eder. Kullanıcı, sorun yaratan herhangi bir olayın farkına varması üzerine, güvenliği sağlamak için acil önlemler alabileceğini kabul eder. Ancak bu önlemler, belirtilen durum genel ağ işleyişini ve güvenliğini etkilemediği sürece, ilgili kişi veya birim ile iletişim kurulduktan ve belli bir süre tanındıktan sonra alınacaktır. 19) Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, 657 Devlet Memurları Kanunun 125 Maddesinde yer alan hükümler uygulanacaktır. 20) 657 Devlet Memurları Kanun hükümlerine tabi olmayan personelin (Danışmanlar, Firma Personelleri) kurumla aralarındaki sözleşmelerde yer alan hükümler uygulanacaktır aksi durumda genel hukuk kurallarına tabi olacaktır. 21) 657 Devlet Memurları Kanunda yer alan ve diğer kabul edilecek cezai yaptırımlar aşağıdaki gibi olacaktır. a. Uyarma, b. Kınama, c. Aylıktan kesme, d. Kademe ilerlemesinin durdurulması, e. Devlet Memurluğunda çıkarma, f. Para cezası (657 dışında kalanlarla yapılan sözleşmeler),
Sayfa 8 / 8 g. Sözleşme feshi. Gizlilik Madde 5- Hakkında işlem yapılan kişinin bilgileri gizli olup Başhekimlik ve Bilgi İşlem Merkezi Yönetimi dışında hiçbir kişiyle paylaşılmaz. Buna aykırı davrananlar hakkında yasal işlemler başlatılır. Yürütme Madde 6- Bu kararlar Birliğimize bağlı sağlık tesislerinin Hastane Yöneticilikleri tarafından Bilgi Güvenliği Komisyonu eliyle yürütülür. Isparta İli Kamu Hastaneler Birliği Genel Sekreterliğinde tarafından Bilgi Güvenliği Komisyonu eliyle yürütülür. Taraflar, Birliğimize bağlı sağlık tesislerinde Bilgi işlem merkezinin yasal ve teknolojik gelişmeleri göz önünde tutarak bu Kullanım Politikasını kısmen değiştirebileceğinden haberdardır ve bunu açıkça kabul eder. Değiştirilen Kullanım Politikası, Hastane Bilgi Yönetim Sistemi Kalite Dokümanları içerisinde yer alması ile birlikte yürürlüğe girer. Yapılan değişikliklerle birlikte Birliğimize bağlı sağlık tesislerinde Bilgi işlem merkezlerinde bu Kullanım Politikası sürekli güncellenerek www.ispartakhb.gov.tr adresinde yayınlanır. Kullanım Politikası sitede yayınlandığı andan itibaren en son hali ile geçerlidir.