2.1. Bakanlık Bilgi Güvenliği Yönetim Komisyonu
2.1.1. Bakanlık genelinde bilgi güvenliği ve siber olaylara müdahale ile ilgili konularda en üst düzeyde koordinasyon ve karar organı olarak görev yapmak üzere, Bilgi Güvenliği Yönetim Komisyonu kurulur.
2.1.2. Komisyon, Sağlık Bilgi Sistemleri Genel Müdürünün Başkanlığında aşağıda belirtilen üyelerden oluşur.
Komisyondaki
Görevi Bağlı Olduğu Birim Görevi
Başkan SBSGM Genel Müdür
Başkan Yrdc. SBSGM Genel Müdür Yardımcısı
Koordinatör SBSGM Sistem Yönetimi ve Bilgi
Güvenliği Dairesi Başkanı
Raportör SBSGM SOME Birim Sorumlusu
Raportör SBSGM BGYS Birim Sorumlusu
Üyeler
Türkiye İlaç ve Tıbbi Cihaz Kurumu Başkanlığı
Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğü
Kamu Hastaneleri Genel Müdürlüğü Halk Sağlığı Genel Müdürlüğü Sağlık Hizmetleri Genel Müdürlüğü Acil Sağlık Hizmetleri Genel Müdürlüğü Yönetim Hizmetleri Genel Müdürlüğü
24
Bilgi Güvenliği Politikaları Kılavuzu2.1.3. Komisyona bağlı olarak çalışmak üzere sorumluluk sahası ile ilgili çalışma grupları oluşturulabilir. Çalışma grupları oluşturulurken konunun özelliği dikkate alınarak farklı disiplinlerden personel bulundurulur.
2.1.4. Komisyon, başkanın çağrısı üzerine yılda en az bir kere toplanır. Gerekli görülen durumlarda başkan komisyonu her zaman toplantıya çağırabilir.
2.1.5. Toplantıda kararlar oy çokluğu ile alınır. Oyların eşitliği halinde başkanın kullanmış olduğu oy esas alınır.
2.1.6. Komisyonun görevleri şunlardır:
2.1.6.1. Bakanlık genelinde uygulanacak bilgi güvenliği ve siber olaylara müdahale ile ilgili üst düzey politika ve stratejileri belirler.
2.1.6.2. Bakanlık Bilgi Güvenliği Politikaları Yönergesi’nde yer alan konuları koordine eder.
2.1.6.3. Bilgi güvenliği ve siber olaylara müdahale ile ilgili politika ve stratejilerin uygulanması için eylem planları hazırlar ve yayımlar.
2.1.6.4. Eylem planlarının uygulanmasının etkinliğini ölçer, sonuçlarını değerlendirir ve iyileştirme için ihtiyaç duyulan tedbirleri alır.
2.1.6.5. Ulusal Siber Güvenlik Stratejisi ve Eylem Planı uyarınca, kritik sektörler arasında yer alan sağlık sektörü ile ilgili siber güvenlik stratejilerinin, Bakanlık dışındaki diğer paydaşlar ile koordine edilmesi faaliyetlerini yürütür.
2.1.5.6. SBSGM bünyesinde görev yapan Bakanlık Sektörel SOME faaliyetleri, Komisyonun gözetiminde yürütülür.
2.2. Sağlık Bakanlığı Sektörel SOME
2.2.1. Sağlık sektörü alanındaki siber güvenlik çalışmalarının planlanması, koordinasyonu ve denetimi için Bakanlık bünyesinde Sektörel SOME oluşturulur.
2.2.2. Sektörel SOME, sektör tecrübesine ve siber güvenlik uzmanlığına (kayıt yönetimi, siber olay yönetimi ve bilgi güvenliği yönetimi) sahip personelden oluşur.
2.2.3. Sektörel SOME, yıllık olarak hazırlayacağı Sektörel Siber Güvenlik Faaliyet Raporunu Bakanlık Bilgi Güvenliği Yönetim Komisyonuna sunar.
25
Bilgi Güvenliği Politikaları Kılavuzu
2.2.4. Sektörel SOME, bünyesinde faaliyet gösteren kurumsal SOME’lerden gelen Siber Olay Müdahale Raporunu Ulusal Siber Olaylara Müdahale Ekibine (USOM) iletir.
2.2.5. Sektörel SOME’nin görev ve sorumlulukları ile ilgili esaslar, Kurumsal SOME Kurulum ve Yönetim Rehberi’nde yer alır.
2.2.6. Sorumluluk alanını oluşturan sağlık sektörünü kapsayacak şekilde siber saldırı uyarısı ve güvenlik açığı duyurusu yayımlar.
2.3. Bilgi Güvenliği Alt Komisyonları
2.3.1. Bakanlık merkez, bağlı kuruluşlar ve il sağlık müdürlükleri bünyesinde, bilgi güvenliği ve siber olaylara müdahale faaliyetlerini yürütmek ve koordine etmek üzere, Bakanlık bünyesinde oluşturulan komisyona benzer şekilde “bilgi güvenliği alt komisyonları” oluşturulur.
2.3.2. Alt komisyonların çalışmaları, merkez teşkilat ve bağlı kuruluşlarda en az daire başkanı, taşra teşkilatında ise en az başkan seviyesinde bir yönetici tarafından koordine edilir. Bu kişiler aynı zamanda ilgili kurumların “bilgi sistemleri koordinatörü” olarak görev yapar.
2.3.3. Alt komisyon çalışmalarında bilgi güvenliği yetkilisi ve kurumsal SOME ekip liderine ilave olarak; kurumların bilgi işlem ve istatistik, insan kaynakları, kalite, hukuk ve fiziksel güvenlikten sorumlu birimlerinin yöneticileri de komisyon üyesi olarak yer alır. Ayrıca gerekli görülecek diğer personel de komisyon toplantılarına davet edilir.
2.3.4. Alt komisyonların görevleri şunlardır:
2.3.4.1. Yönerge ve Kılavuz’da belirtilen hususlar çerçevesinde, kendi kurumları bünyesinde uygulanacak BGYS’ye yönelik çalışmaları koordine eder.
2.3.4.2. Bakanlık tarafından yayımlanan eylem planında yer alan hususların gerçekleştirilmesini sağlar.
2.3.4.3. Bilgi güvenliği yetkili/yetkililerini belirler ve görevlendirmesini yapar.
2.3.4.4. Bakanlık tarafından yayımlanan Kurumsal SOME Kurulum ve Yönetim
Rehberi’nde belirtilen esaslar çerçevesinde Kurumsal SOME’sini kurar ve işletilmesini sağlar. Kurumsal SOME Ekip Lideri görevlendirmesini yapar.
26
Bilgi Güvenliği Politikaları Kılavuzu2.4. Bilgi Güvenliği Yetkilisi
2.4.1. Bakanlık merkez, bağlı kuruluşlar ve il sağlık müdürlükleri bünyesinde bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere “bilgi güvenliği yetkilisi” görevlendirilir.
2.4.2. Hangi seviyede ve hangi alt kuruluşlarda “bilgi güvenliği yetkilisi”
görevlendirileceği, ilgili alt komisyonlar tarafından karar altına alınır. Bu tespit yapılırken kurum bilgi işleme tesisleri, personel sayısı, bölgesel özellikler, tespit edilen risklerin miktarı ve önem derecesi gibi ölçütler göz önüne alınarak, ölçek yaklaşımı çerçevesinde karar verilir ve görevlendirilen bilgi güvenliği yetkilisinin sorumluluk kapsamı belirlenir.
2.4.3. Bilgi güvenliği yetkilisi olarak; yönetim sistemleri konusunda tecrübeli, kurumda yürütülen iş süreçlerine hâkim, kurum kültürüne vakıf, tercihen bilgi sistemleri konusunda teknik eğitim almış, alt komisyondan aldığı yetkiye dayanarak bilgi güvenliği ile ilgili faaliyetleri yürütürken kurumda görev yapan tüm personel ile uygun yöntemlerle iletişim kurabilecek, gerektiğinde otorite kullanabilecek, mümkünse yönetici düzeyinde bir personel görevlendirilir.
2.4.4. Bilgi güvenliği yetkilisinin ana işlevi, bulunduğu kurumdaki bilgi güvenliği faaliyetlerini alt komisyondan almış olduğu yetkiye dayanarak SBSGM ile koordineli bir şekilde yürütmektir. Bu yönüyle, bağlı bulundukları alt komisyonun bilgi güvenliği ile ilgili konulardaki icra organı olarak hareket ederler.
2.4.5. Bilgi güvenliği yetkilisi olarak görevlendirilen personel, SBSGM tarafından ana ilkeler konusunda eğitilir ve yönlendirilir.
2.5. Kurumsal SOME Ekip Lideri ve Kurumsal SOME’ler
2.5.1. Kurumsal SOME’ler; Bakanlık bağlı kuruluşları, il sağlık müdürlükleri ve sektörel SOME tarafından uygun görülen sağlık alanında faaliyet gösteren özel kuruluşların bünyelerinde kurulur.
2.5.2. Kurumsal SOME’ler, sektörel SOME tarafından koordine edilir.
2.5.3. Kurumsal SOME’ler, siber olaya müdahale sonrası siber olay müdahale raporunu ve yıllık faaliyet raporunu Sektörel SOME’ye iletir.
2.5.4. Kurumsal SOME’ler, temel sorumluluğu siber güvenlik olan bir ekip lideri koordinatörlüğünde faaliyet gösterir.
27
Bilgi Güvenliği Politikaları Kılavuzu
2.5.5. Kurumsal SOME ekip liderinin en az lisans derecesine sahip olan ve siber güvenlik konusunda uzmanlaşmış personel arasından seçilmiş olması tercih edilir.
2.5.6. Kurumsal SOME’lerin yapısı, görevi ve sorumluluklarına ilişkin hususlar, Kurumsal SOME Kurulum ve Yönetim Rehberi’nde yer alır.
2.6. Üst Yönetimlerin Sorumluluğu
2.6.1. Bilgi güvenliği politikalarının uygulanması üst yönetim tarafından takip edilir. Bilgi güvenliği politikası kapsamında, bilgi sistemleri üzerinde etkin ve yeterli kontrollerin tesis edilmesi üst yönetimin sorumluluğundadır.
2.6.2. Yeni bilgi sistemlerinin kullanıma alınmasına ilişkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara ilişkin risklerin yönetilebilirliği göz önünde bulundurularak onaylanır.
2.6.3. Üst yönetim, bilgi güvenliği önlemlerinin uygun düzeye getirilmesi için gereken kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik yeterli kaynağı tahsis eder.
2.6.4. Üst yönetim bilgi güvenliği ile ilgili faaliyetlerin yerine getirilmesi maksadıyla bu bölümde belirtilen bilgi güvenliği organizasyonunu kurar ve çalıştırılmasını sağlar.
2.6.5. Bilgi güvenliği ile ilgili süreçleri bilgi güvenliği komisyonları vasıtasıyla takip eder. Komisyon çalışmaları neticesinde üst yönetim kararı gerektiren hususlar için gerekli kararları verir ve uygulanmasını takip eder.
29
Bilgi Güvenliği Politikaları Kılavuzu