KAHRAMANMARAŞ İL SAĞLIK MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ KAHRAMANMARAŞ İL SAĞLIK MÜDÜRLÜĞÜ

Bilgi Güvenliği Çalışmaları Kapsamında Yapılanlar Sağlık Bakanlığı Bilgi Sistemleri Genel Müdürlüğü nezdinde Bilgi Güvenliği Birimi kuruldu Bakanlığımız Bilgi Güvenliği Politikasını yayınladı Bu politika metni esas alınarak Bilgi Güvenliği Yönergesi yayınlandı Kahramanmaraş Sağlık Müdürlüğü olarak bakanlığımızın Politika ve Yönergesi doğrultusunda; Bilgi Güvenliği Politika ve Prosedürler Belgesi hazırladık ve tüm personele tebliğ ettik Bilgi Güvenliği Komisyonu kurduk Bilgi Güvenliği Eğitimleri veriyoruz Kurumsal ve Personel Gizlilik Sözleşmelerini imzalıyoruz Müdürlüğümüzde gereken önlemleri alıyoruz (Güvenlik cihazı temini gibi)

Kapsam Bilgi Güvenliği kavram olarak sadece Bilgi İşlem Biriminin yürüteceği bir çalışma olmayıp tüm kurumu ve tüm personeli kapsayan bir kültürü ifade etmektedir. Bu kavramın içine aşağıdaki başlıklar gibi birçok madde ilave edilebilir; Atık evrakların imhası, Kurumdan ayrılan personelle ilgili işlemler, Eğitim faaliyetleri, Personelin bilinçlendirilmesi, gizlilik sözleşmesi yapılması Kuruma gelen üçüncü şahısların kayıtlarının tutulması Kurumsal bilginin çalışanlar tarafından sır niteliğinde saklanması İhlallerin kayıt altına alınması

Dayanak 5651 Sayılı Kanun “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” Sağlık Bilgi Sistemleri Genel Müdürlüğü 03.03.2014 tarih ve 5181.1345/700 sayılı yazıları ile gönderilen Bilgi Güvenliği Yönergesi

Veri Nedir ? Bilgi Nedir ?

Bilginin Bulunduğu Ortamlar Fiziksel Ortamlar Elektronik Ortamlar Sosyal Ortamlar

Bilgi Çeşitleri Fiziksel Ortamlar Kağıt, Tahta Pano, Yazı tahtası Fax kağıdı Çöp/Atık Kağıtlar Dosyalar Dolaplar

Bilgi Çeşitleri Elektronik Ortamlar Bilgisayarlar, mobil iletişim cihazları E-posta, USB, CD, Disk Manyetik ortamlar

Bilgi Çeşitleri Sosyal Ortamlar Telefon görüşmeleri Muhabbetler Yemek aralarında sohbetler Toplu taşıma araçlarındaki konuşmalar

Bilginin Sınıflandırılması Gizli Bilgi En kritik bilgilerdir, sadece yönetim kadrosunun erişimi vardır. Bu tür bilgilerin yetkisiz erişilmemesi, ifşa edilmemesi veya paylaşılmaması kurum açısından çok önemlidir. Gizlilik ön plandadır. İç Kullanım Sadece birimlere özel bilgilerdir. Departman çalışanları dışında hiçbir 3. taraf kurumun veya kişinin görmemesi gereken bilgilerdir. Gizlilik ön plandadır. Kişisel Birim çalışanlarının kişisel çalışmaları ile ilgili bilgilerdir. Kurum işlevleri için yapılan kişisel çalışmalar burada tutulabilir. PC, Laptop veya Dolaplarda işle ilgili olmayan diğer kişisel bilgiler tutulamaz. Erişilebilirlik ön plandadır. Kuruma Açık Bu bilgiler kurum çalışanlarının kullanımı içindir. Erişilebilirlik ve bütünlük ön plandadır. Departmanların kendi aralarında paylaştıkları bilgiler bu sınıfa girer.

Fiziksel ve Çevresel Güvenlik Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır. Örneğin; Bina etrafına yüksek duvarlar ya da demirler yapılması Bina girişinde özel güvenlik ekiplerinin bulundurulması Önemli bilgilerin tutulduğu odaların kilitlenmesi Süresi biten gizli veya birimlerin kullanımına özel bilgi içeren atıklar imha edilmelidir.

Bilgi Sistemlerinde Güvenlik Kullanıcılar: eriştikleri sistemlere mutlaka kendi şifreleri ile bağlanmalıdır. Kullanıcılar: yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir. Kullanıcılar: kendi kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile paylaşmamalıdır.

Belli başlı temiz masa kuralları Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir. Personelin kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa terkedilecekse ekran kilitlenmelidir. Bu işlem Windows + L tuşuna basılarak yapılabilir. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır. kullanım ömrü sona eren bilgiler kâğıt öğütücü, disk/disket kıyıcı vb. metotlarla imha edilmeli TEMİZ MASA TEMİZ EKRAN

İnternet Dünyasının Aktörleri Kurduğu kablolu/kablosuz sistemler, dial-up, ADSL, ethernet vb. teknolojilerle internete erişim olanağı sağlayan gerçek veya tüzel kişilerdir. TTnet, Superonline İnternete açık hizmet ve içerikleri barındıran sistemleri sağlayan / işleten gerçek veya tüzel kişilerdir. Sağlık Bakanlığı, Facebook, Youtube Erişim Sağlayıcılar Yer Sağlayıcılar İnternetin Aktörleri Toplu Kullanım Sağlayıcılar İçerik Sağlayıcılar Kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade eder. Blogger, Yazar….. Kişilere belli bir yerde ve belli bir süre internet kullanım olanağı sağlayan gerçek ve tüzel kişilerdir. Sağlık Kurumları

İlgili Kanuna Göre İnternet kullanımı Kamu kurumları, Internet toplu kullanım sağlayıcı olarak iç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek zorundadır. Kanun gereği tüm internet trafiği 6 ay geriye dönük olarak kayıt altına alınmalıdır. Internet toplu kullanım sağlayıcı olarak konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür. 

BG Politikası Gereğince İnternet Kullanımı Tüm personelin yayınlanmış olan Bilgi Güvenliği Politikasındaki internet kullanım kurallarına riayet etmesi gerekmektedir. İnternet trafiği şahsi kullanıma yönelik olarak müzik video vb. uygulamalarla meşgul edilmemelidir. (youtube, radyo vb..) İnternet üzerinden uygunsuz içeriğe erişim sağlanmamalıdır. (Kumar, Bahis, Çocuk istismarı, Müstehcenlik vb..) Bilgisayarlara kurumun izin vermediği program oyun film vs. indirme ve yükleme (download ve upload) yapılmamalıdır. İnternet erişimi tümüyle kayıt altındadır. Trafik logları yetkili birimlerce incelenebilmektedir.

Kurumsal E-posta Kullanımı @saglik.gov.tr Bakanlığımız e-posta ile yapılan bilgi alışverişlerinin kurumsal e-posta ile yapılmasını istemektedir. Size kurumsal kimlik kazandırır. IOS, Android, Microsoft Phone, Outlook ve Web'ten erişim imkanı sağlamaktadır. Kurumsal uygulamalara giriş kolaylığı sağlamaktadır. (ebys) Tüm mailler kişilere özel olup üst düzey güvenlik önlemlerine sahiptir

E-Posta Kullanma Kuralları Çalışanlar e-posta ile uygun olmayan içerikler gönderemezler. Kurum çalışanları resmi mail adreslerinden gelen mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan sorumludurlar. Kurumdan ayrılan personel e-posta adresini kapattırmalıdır.

Güvenli Parola Kuralları 123456 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 dilek1 dilek1978 Faruk123 qwerty Parola en az 8 karakterden oluşmalıdır Harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. Kötü Örnekler

Şifre – Parola Kullanma Kuralları Bütün kullanıcı şifreleri (e-posta, bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi ise her üç ayda birdir. Şifreler kolay erişilebilen yerlere (monitör kenarına, etikete, bilgisayarın üstüne) yazılmamalıdır. Kolayca tahmin edilebilecek örneğin ailedeki kişi isimleri vs. gibi kelimeler kullanılmamalıdır. Kişiye ait şifre başkasıyla paylaşılmamalıdır. (şifreyi evinizin anahtarı gibi düşünün)

Antivirüs Politikası Bütün bilgisayarda kurumun lisanslı antivirüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır. Antivirüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem birimine haber verilmelidir. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistemden kaldıramaz ve başka bir antivirüs yazılımını sisteme kuramaz.  Zararlı programları kurum bünyesinde oluşturmak ve dağıtmak suçtur. (örn; virüsler, solucanlar, truva atı, e-mail bombaları vb)

Genel Kullanım Politikası Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır. Kurumsal veya kişisel verilerin (hasta bilgileri) gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilemez.

Genel Kullanım Politikası Birimlerde sorumlu Bilgi İşlem Personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarlarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmez. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir.

Genel Kullanım Politikası Bilgisayarlara engellenen sitelere girmeye yönelik olan programlar kurulmamalıdır. Bunlar log taraması sırasında tespit edilmektedir. Kuralların uygulanmasından birim amirleri sorumlu olup; kullanıcıların yapmış olduğu kural ihlallerinde kullanıcından başlamak üzere silsile yolu ile sorumluluk bulunmaktadır.

Son Kullanıcı Güvenliği Son kullanıcılar: bilgisayarlarında ki ve sorumlusu oldukları cihazlarda ki bilgilerin düzenli olarak yedeklerini almalıdır. güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından ayrılırken mutlaka ekranlarını kilitlemelidir. bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde USB flash bellek gibi cihazlar bırakmamalıdır. mesai bitiminde bilgisayarlarını kapatmalıdır. bilgisayarlarında, güncel anti virüs bulunmalıdır.

Sosyal Medyanın Yararları Eski arkadaşlarınıza ulaşabilir, yeni arkadaşlar edinebilirsiniz. İletişimde zaman ve mekan engellerini ortadan kaldırabilirsiniz. Yaşam tarzınıza ve düşüncelerinize göre gruplar kurabilir ve sayfalar açabilirsiniz. Yalnızlık duygusunun neden olacağı depresif düşüncelerden uzak kalabilirsiniz.

Sosyal Medyanın Yararları Az kelimeyle çok şeyler ifade eden cümleler oluşturabilen bir yazar ve şaire dönüşebiliyorsunuz. Ürün, marka ve hizmetinizi birinci dereceden müşterilerinize çok ucuza tanıtabilirsiniz. Anlamlı ve anlamsız veri yığından anlamlı ve faydalı bilgiler oluşturabilir. Direk birinci derecede kaynağından bilgiye ulaşabiliyorsunuz. Özel yetenekleri olan insanlara fırsat kapısı olabiliyor.

Sosyal Medyanın Zararları Sosyal Medyadan uzaklaştığında oluşan agresiflik ve depresiflik hali. Kişisel, ailevi ve iş hayatınızdaki mahremiyetiniz deşifre olabilir. Sosyal medya sizi asosyal bir insan haline getirebilir. Sosyal medya dedikodu kültürünü arttırıyor. Narsizme yol açabilir.

Sosyal Medyanın Zararları Sosyal Medyada üzerinden gerçekleşen boşanma, intihar, dolandırıcılık her geçen gün artıyor. Birçok zararlı yazılım sosyal medya kanalıyla bulaşabilir. Yorumlarla firmaların marka değeri zarar görebilir. Zararlı sosyal örgütlenmeler olabilir. Sosyal medya dili yozlaştırıyor.

Nelere Dikkat Etmeliyiz ? Sosyal Medya Kullanırken Nelere Dikkat Etmeliyiz? Kurumunuzu sosyal medya üzerinden eleştirmeyin. Kurumunuzun hizmetleri hakkında paylaşımda bulunurken kurumunuzun bilgi güvenliği politikalarını dikkate alın. Dijital toplum karşısında kurumunuzu temsil ettiğinizi unutmayın. Sosyal medyada yorum yaparken dikkatli olun. Kişisel ve kurumsal itibarınızı zedeleyecek yorumlar yapmaktan kaçının.

Nelere Dikkat Etmeliyiz ? Üzgün, kırgın ve öfkeli olduğunuz durumlarda ruh halinizi yansıtacak iletiler paylaşmaktan çekinin. Son pişmanlık fayda etmeyebilir. Siyaset, spor, din, terör, cinsellik gibi konularda yorum yaparken dikkatli olun. Tatil ve eğlence fotoğraflarınızı sosyal medyada paylaşırken dikkatli olun. Paylaşımlarınızda telif haklarının ihlaline dikkat edin.

İhlal Bildirimi veya Düzeltici Önleyici Bildirim

SONUÇ Artık kurumumuzun Bilgi Güvenliği Politikası var, yönerge ve kurallara göre hareket etmek gerekiyor. Her türden kurumsal bilgiyi üçüncü şahıslarla paylaşmaktan kaçınmak gerekiyor. Çalışanlar kurumsal e-posta kullanımını tercih etmeliler. İnternet ve bilgisayar kullanım kurallarına riayet etmek gerekiyor. Her çalışanın Müdürlüğümüz tarafından hazırlanan Personel Gizlilik Sözleşmesi’ni bir taraf olarak imzalaması gerekiyor. Yeni web sitemizde Bilgi Güvenliği başlığı takip edilmeli

Teşekkürler…