BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir dokümandır. Bu rehberde tüm bölümleri ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır. Kurumda çalışan tüm personel bu dokümanda belirtilen kurallara uymakla sorumludur. 1. AMAÇ Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. İnsan Kaynakları ve Zafiyetleri Yönetimi, Parola Güvenliği, Bilgi Kaynakları Atık Ve İmha Yönetimi, İhlal Bildirimi ve Yönetimi, İnternet ve Elektronik Posta Güvenliği, Mal ve Hizmet Alım Güvenliği, Sosyal Mühendislik Zafiyetleri Sosyal Medya gibi birçok konudaki bilgi güvenliği çalışmalarımızın genel özeti bu rehberde verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır. Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst dokümandır. Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden geçirilmektedir. 2. KAPSAM BGYS Politikası Rehberi; Aydın Kamu Hastaneleri Birliği Genel Sekreterliği İdari Hizmetler Başkanlığı, Tıbbi Hizmetler Başkanlığı, Mali Hizmetler Başkanlığı ve doğrudan Genel Sekretere bağlı tüm birimleri kapsamaktadır. 3.TANIMLAR ve KISALTMALAR Veri: Sayısal ve Mantıksal her bir değere (sayı, rakam, sembol)veri denir. Örneğin: Aydın,1922. Bilgi: Verinin işlenmiş haline bilgi denir. Örnek: Aydın 1922 de işgalden kurtuldu. Gizlilik: Bilgiye yalnızca yetkili kişilerin, varlıkların ve süreçlerin erişebilmesidir. Erişilebilirlik: Bilginin yetkili kişiler, varlıklar ve süreçler tarafından istenildiğinde ulaşılabilir ve kullanılabilir olmasıdır. Bütünlük: Bilginin doğruluk, bütünlük ve kendisine has özelliklerinin korunmasıdır.
BG-RH-01 01.03.2015 00 Sayfa 2 / 6 Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunmasıdır. Ek olarak, doğruluk, açıklana bilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. BGYS: Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi (BGYS) : Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır. Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. Bilgi güvenliği ihlal olayı: İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı. Bilgi Güvenliği Riski: Açıklıklardan fayda sağlamak suretiyle kuruluşa zarar verebilecek varlık ya da varlık gruplarının potansiyel tehdididir. Bir olayın ve sonucunun olasılığının kombinasyon koşulları olarak ölçülür. 4.BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU T.C. Sağlık Bakanlığının Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzu gereği, Aydın Kamu Hastaneler Birliği Genel Sekreterliği bünyesinde bu rehberin 2. Maddesinde yer alan kapsam dahilinde bilgi güvenliği gerekliliklerini yürütmek üzere Bilgi Güvenliği Yetkilileri belirlenmiş ve Bilgi Güvenliği Komisyonu kurulmuştur. 4.1.Bilgi Güvenliği Komisyonu Genel Sekreterlik İdari Hizmetler Başkanı tarafından oluşturulan, Genel Sekreter tarafından onaylanan, Komisyon Başkanının Genel Sekreterlik Bilgi Güvenlik Yetkilisinin olduğu; BGYS KOMİSYONU Komisyon Başkanı Op. Dr. Nevzat ÖNEN İdari Hizmetler Başkanı Üye Aydoğan DİKİCİ Uzman Üye Nazan HAKERLER Uzman Üye Metin YILMAZ Uzman Üye Ertuğrul DEMİR Uzman Üye Murat YILDIZ Üye Gülçin KARABULUT Avukat
BG-RH-01 01.03.2015 00 Sayfa 3 / 6 4.2.OrganizasyonYapısı GENEL SEKRETER GENEL MUHASEBE İDARİ HİZMETLER BAŞKANLIĞI TIBBİ HİZMETLER BAŞKANLIĞI MALİ HİZMETLER BAŞKANLIĞI BASIN VE HALKLA İLİŞKİLER ADSM HİZMETLERİ MERKEZİ SATIN ALMA BİLGİ SİSTEMLERİ ACİL SAĞLIK HİZMETLERİ STOK YÖNETİM DESTEK HİZMETLERİ EĞİTİM AR-GE ENFEKSİYON VE STERİLİZASYON HİZMETLERİ EVDE BAKIM HİZMETLERİ İNŞAAT -YATIRIM HİZMETLERİ KLİNİK MÜHENDİSLİK HİZMETLERİ EVRAK KAYIT HASTANE HİZMETLERİ MAAŞ MUTEMETLİĞİ HUKUK VE DİSİPLİN İŞLERİ İSTATİSTİK-ANALİZ VE RAPORLAMA HASTA - ÇALIŞAN HAKLARI VE GÜVENLİĞİ MÜŞTEREK SAĞLIK HİZMETLERİ İNSAN KAYNAKLARI ÖZELLİKLİ SAĞLIK HİZMETLERİ KALİTE YÖNETİM SAĞLIK BAKIM HİZMETLERİ KOORDİNATÖRLÜĞÜ VERİMLİLİK ULUSLARARASI HASTA KOORDİNASYON
BG-RH-01 01.03.2015 00 Sayfa 4 / 6 5.GÖREV YETKİ VE SORUMLULUKLAR 5.1.Bilgi Güvenliği Üst Yönetimi Görev, Yetki ve Sorumlulukları: A. Belirli aralıklarla yapılacak olan BGYS YGG (Bilgi Güvenliği Yönetim Sistemi Yönetim Gözden Geçirme) toplantılarına başkanlık etmek. B. Bilgi Güvenliği komisyonu tarafından oluşturulan Bilgi Güvenliği Politikası Rehberini ve Prosedürlerini onaylamak. C. Bilgi Güvenliği komisyonu tarafından bilgi güvenliği konularında geliştirilen politika ve prosedürleri uygulamak üzere gerekli altyapıyı oluşturmak için hazırlanmış projelere gerekli kaynağı sağlamak. D. Çalışmaların yürütülmesi için yatırım kararlarına Genel Sekreterlik Birimlerinde Bilgi Güvenliği komisyonu tarafından yapılması önerilen çalışma süreçleri, usul ve esaslara dair değişiklikleri onaylamak. E. Kurum bünyesinde bilgi işleme olanaklarını kullanarak bilginin üretilmesini, taşınmasını, geliştirilmesini, yönetilmesini ve saklanmasını sağlayan tüm çalışanlar (firma personeli dahil) Bilgi Güvenliği farkındalığının artırılmasına yönelik planlanan çalışmaların etkinliğinin artırılması için teşvik edici faaliyetleri onaylamak. F. Bilgi Güvenliği konularında yapılacak olan çalışmalarına işlerlik kazandırmak, sürdürmek iyileştirmek ve gözden geçirmek için gerekli iç denetimlerin yapılmasına onay vermek. G. Yapılan çalışmalar doğrultusunda yapılacak olan belgelendirme dış denetimlerin (Belgelendirme ve ara denetimler) yapılmasını sağlamak. H. Projelerin daha verimli bir şekilde yürütülebilmesi için BGYS Birim personelinin kişisel gelişimleri için gerekli görülen eğitimlerin düzenlenmesi ya da dış taraflarda düzenlenmiş eğitimlere gönderilmesini ve gerekli finansal kaynağı sağlamak. 5.2.BGYS Yetkilisi Görev, Yetki ve Sorumlulukları: A. Bilgi güvenliği konularının altyapısını oluşturacak projeler hazırlanmasını sağlamak. B. Aydın Kamu Hastaneler Birliği Genel Sekreterliği bünyesinde yürütülen Bilgi Güvenliği faaliyetlerinin T.C. Sağlık Bakanlığının Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzuna uygun şekilde yürütülmesi için gerekli çalışmaları yapmak. C. Bilgi Güvenliği dokümanlarının hazırlanmasına rehberlik etmek ve hazırlanan dokümanları onaylamak. D. Projelerin yürütülebilmesi için gerekli olan tüm dokümantasyon (Politika, Prosedür, Plan, Süreç Analizi, Risk Yönetimi, Etki Analizi gibi) gerekliliklerine katılmak, dokümantasyon geliştirme faaliyetlerinde yer almak. E. Üst yönetim onayı gerektiren dokümanların üst yönetim tarafından onaylanmasını sağlamak.
BG-RH-01 01.03.2015 00 Sayfa 5 / 6 F. Projelerin yürütülebilmesi için gerekli olan yönetim hizmetleri çerçevesinde ihtiyaçların temin edilmesinin sağlanması. G. Projeler kapsamında yapılacak olan farkındalık eğitimi, temel eğitim, eğitim değerlendirmeleri yapmak, katılımcı imzalarının alınmasını sağlamak. H. Yönetim sistemi gerekliliklerinden olan Yönetim Gözden Geçirme, İç Denetim, Farkındalık Eğitimleri gibi faaliyetlerin zamanında ve efektif bir şekilde gerçekleştirilmesi için gerekli planlamaların gerçekleşmesini sağlamak. 5.3.BGYS Komisyonu Görev, Yetki ve Sorumlulukları: A. BGYS Komisyonu Başkanı bu komisyona başkanlık eder. B. BGYS Komisyonu, Bilgi Güvenliği konularının alt yapısını oluşturacak projelerin yürütülmesi için gerekli onayı verir. C. BGYS Komisyonu, T.C. Sağlık Bakanlığı Bilgi Güvenliği Yönetim Sistemleri Biriminin faaliyetlerini takip ederek, buna bağlı olarak kurumda yapılması gerekenleri tespit ederek gerekli işlemlerin yapılmasını sağlar. 6. BİLGİ HASSASİYETLERİ 6.1.Bilgi Varlıklarımız T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yer alan tüm fiziki alanlarda bulunan birimlerin yapmış oldukları işlerde üretilen bilgiler bilgi varlıklarımızı oluşturmaktadır. Masaüstü bilgisayarlar, laptoplar, CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak dolapları, sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında (internet, e- posta, telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır. 6.2.Varlık Sınıflandırılması BİLGİNİN GİZLİLİK DERECESİ Gizli Kişisel BİLGİ SINIFLANDIRMA KILAVUZU AÇIKLAMA En kritik bilgilerdir, sadece yönetim kadrosunun erişimi vardır. Bu tür bilgilerin yetkisiz erişilmemesi, ifşa edilmemesi veya paylaşılmaması kurum açısından çok önemlidir. Gizlilik ön plandadır. Birim çalışanlarının kişisel çalışmaları ile ilgili bilgilerdir. Kurum işlevleri için yapılan kişisel çalışmalar burada tutulabilir. PC, Laptop veya Dolaplarda işle ilgili olmayan diğer kişisel bilgiler tutulamaz. Erişilebilirlik ön plandadır. SAKLANMA YERİ Hazırlayan kişi tarafından kontrol edilen ve kapalı odalarda bulunan kilitli dolaplar ve kişisel bilgisayarlar Birimlerin odalarındaki kişilere ait kilitli çekmeceleri.
BG-RH-01 01.03.2015 00 Sayfa 6 / 6 İç Kullanım Kuruma Açık Halka Açık Sadece birimlere özel bilgilerdir. Departman çalışanları dışında hiçbir 3. taraf kurumun veya kişinin görmemesi gereken bilgilerdir. Gizlilik ön plandadır. Bu bilgiler kurum çalışanlarının kullanımı içindir. Erişilebilirlik ve bütünlük ön plandadır. Departmanların kendi aralarında paylaştıkları bilgiler bu sınıfa girer. Bu bilgiler Aydın Kamu Hastaneler Birliği Genel Sekreterliğine bağlı tüm kurumlara, tedarikçilere ve halka açık bilgilerdir. Bu bilgilerin erişilebilirliği önemlidir. Birimin kilitli dolapları, kişisel bilgisayarlar Departmanın kilitli ortak dolapları Birimlerin odalarındaki dolaplar veya dolapların dışı. Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi ürettiği bilgileri sınıflandırmalıdır. Bu sınıflandırmaya göre halka açık dokümanlar web sitesinde yayınlanan ve işlem için üçüncü taraflara verilen kağıt veya elektronik ortamdaki başvuru formu, duyurular vb. bilgilerdir. 7.BİLGİ GÜVENLİĞİ PROSEDÜRÜ Bilgi Güvenliği Politikası Rehberi, kurumumuzca yayınlanan birçok prosedür çerçevesinde belirlenir. Bilgi Güvenliği Prosedürlerini Bilgi Güvenliği Yetkilisi hazırlar, İdari Hizmetler Başkanı kontrol eder, Genel Sekreter onaylar. Kuruma Başlama Kurumdan Ayrılma İşlemleri Prosedürü, Bilgi Yedekleme ve Şifre Koruma Prosedürü, Bilgi Güvenliği İhlal Prosedürü, E-posta Kullanım Prosedürü gibi prosedür ve planlarda sistemin işleyişi anlatılmaktadır. Tüm çalışanlar yönetimce tanımlanan ve yayınlanan bu prosedür ve planlara uygun hareket etmelidirler. 8.BİLGİ GÜVENLİĞİ SÖZLEŞMELERİ Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak kurum politikalarına uyacaklarını taahhüt ederler. Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe başlayan her çalışanın (PC kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir. 9.BİLGİ GÜVENLİĞİ EĞİTİMLERİ Bilgi Güvenliği eğitimleri 2015 yılı hizmet içi eğitim planları içerisine dahil edilecektir. Plan doğrultusunda Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde çalışan tüm personele Bilgi Güvenliği Farkındalık Eğitimi yapılacaktır.