14. UYUM
14.5. Bilgi Güvenliği Denetimleri
14.5.1. Kılavuzda yer alan kontrol önlemlerinin Bakanlığımıza bağlı birimler tarafından uygulanma düzeyini tespit etmek, varsa aksaklıkları belirlemek ve düzeltici faaliyetlerde bulunmak amacıyla bilgi güvenliği denetimleri yapılır.
14.5.2. Bilgi güvenliği denetimleri “yerinde denetim” ve “sistem güvenlik testleri”
şeklinde gerçekleştirilir.
14.5.3. Sistem güvenlik testleri ile ilgili hususlar, Kılavuz’un 9.15 (Sistem Güvenlik Testleri) maddesinde açıklanmıştır.
14.5.4. Yerinde denetimler, Kılavuzda yer alan konuların (tamamının veya seçilecek bazı maddelerin) uygulanma/gerçekleştirilme durumunun, Bakanlık tarafından görevlendirilecek denetçiler vasıtasıyla kontrol edilmesi suretiyle yapılır.
14.5.5. Yerinde denetimler, ilgili kurumların en üst düzey yöneticileri imzasıyla yapılacak talep veya yetkili makamlar (Bakan, Bakan Yardımcısı, SBSGM Genel
183
Bilgi Güvenliği Politikaları Kılavuzu
Müdürü) tarafından verilecek talimatlara istinaden planlı olarak yapılır. Denetim için önceden hazırlanan yazılı kontrol formları/soru listeleri kullanılır.
14.5.6. Talep üzerine yapılacak denetimler için SBSGM’deki ilgili birimlerde görev yapan denetçi personelin iş yükü dikkate alınarak planlama yapılır.
14.5.7. Denetim; sorumlu personel ve son kullanıcılar ile yüz yüze görüşme yapılması, varsa kayıtların incelenmesi, gerekiyorsa ölçümlerin yapılması suretiyle gerçekleştirilir. İhtiyaç var ise Kılavuz’un 9.15 (Sistem Güvenlik Testleri) maddesinde belirtilen teknik testler de yapılabilir.
14.5.8. Bilgi güvenliği denetimi yapacak personelin (denetçiler) denetim yapma tekniği ve denetlenecek konular hakkında eğitim almış personel olması gerekir.
14.5.9. Denetimler, Bakanlık personeli tarafından (SBSGM personeli, bağlı kuruluşlar ve il sağlık müdürlükleri bünyesinde görev yapan personelden Bakanlık tarafından bilgi güvenliği denetimi yapmak üzere seçilen ve denetçi eğitimi almış kişiler) yapılır.
14.5.10. Denetimlerin çeşitli nedenlerle, Bakanlık personeli tarafından yapılamaması durumunda, Bakanlık tarafından yetkin görülen ve onaylanan yetkili denetim kurumları tarafından da denetim yapılabilir.
14.5.11. Talep edilmesi halinde, Sağlık Bakanlığı Denetim Hizmetleri Başkanlığı tarafından Denetim Hizmetleri Yönergesi’nin ilgili maddesi uyarınca yapılacak
“bilgi teknolojileri” denetimleri için uzman personel görevlendirilir.
14.5.12. Sağlıkta Kalite ve Akreditasyon Daire Başkanlığı tarafından yapılan kalite denetimleri içinde yer alan bilgi yönetimi/bilgi güvenliği ile ilgili ölçümler, bilgi güvenliği denetimlerinin bir parçası olarak değerlendirilir.
EKLER
Eklerin içeriklerinin güncek ihtiyaçlara göre sık sık değişmesi nedeniyle, son hallerine https://bilgiguvenligi.saglik.gov.tr/Home/Mevzuat adresinden erişim
sağlanacaktır
186
Bilgi Güvenliği Politikaları KılavuzuKLVZ-EK-01 İŞE BAŞLAMA FORMU
Adı Soyadı
Unvan/ Yüklenici Firma Birimi
Başlama Tarihi ……./……./20……
Tamamlanması Gereken
Başlıklar İlgili Birim / Kişi Kurum Çalışanı Adı Soyadı / İmza
İşe Başlayan Kişi Adı Soyadı / İmza
Kimlik - Giriş Kartının
Çıkarılması Personel Birimi
Oryantasyon Eğitimi
Eğitim Koordinasyon Birimi
e-Posta Hesabının
Açılması e-Posta Birimi
BGYS Farkındalık
Eğitimi BGYS Birimi
EBYS Açılması EBYS ve e-İmza Birimi
EBYS Eğitimi EBYS ve e-İmza Birimi
Zimmet Oluşturulması Taşınır Kayıt Birimi
Personel Gizlilik Sözleşmesi İmzalatılması
Birim Sorumlusu
Formun Doldurulma Tarihi: …… /….. / 20……
187
VPN Hesaplarının Kapatılması Ağ Yönetimi Birimi
EBYS Kapatılması EBYS ve e-İmza Birimi
Zimmet Devri Taşınır Kayıt
Birimi
Kimlik - Giriş Kartının İade
Edilmesi Personel Birimi
Formun Doldurulma Tarihi: …… /….. / 20……
Not: İlgili birim tarafından yapılan kontrollerde kişinin kapatılacak bir kaydı bulunmuyor ise kontrol edildiğine dair imza atılması gerekmektedir.
188
Bilgi Güvenliği Politikaları KılavuzuFEN EDEBİYAT FAKÜLTESİ
KLVZ-EK-03 KAYITTAN DÜŞME TEKLİF VE ONAY TUTANAĞI
TUTANAK SIRA NO :
AİT OLDUĞU MİKTAR/ADET BİRİM FİYATI TUTARI
Yukarıda kodu, adı ve özellikleri, miktarı ve kayıtlı değeri belirtilen toplam ...kalem ve ...adetten oluşan taşınırların;
1 Kullanım sonucu yıpranmış ve hurdalaşmış olduğundan, 2 Kullanım süresi dolmuş olduğundan, (2)
3 Kullanıcısı tarafından kırılıp, bozulmuş ve tamir imkanı olmadığından,
4 Canlı taşınır öldüğünden, 5 ...nedeniyle,
a) Hurdaya ayrılarak teknik, sağlık, güvenlik vb. nedenlerle b) Hurdaya ayrılarak, madeni ve c) Taşınırın kırılıp bozulmasında
imha edilmek, ahşap olarak ayrı ayrı satılmak, kasıt, kusur veya ihmali görülen
sorumludan rayiç bedeli üzerinden tahsil edilmek, d) ...
...
üzere kayıtlardan düşülmesi; hususu olurlarınıza sunulur.
.../.../...
Taşınır Kayıt ve Kontrol Yetkilisi (3) Adı, soyadı :...
Unvanı :...
İmza :...
KOMİSYON BAŞKANI ÜYE
(Taşınır Kayıt ve Kontrol Yetkilisi)
ÜYE
UYGUNDUR / UYGUN GÖRÜŞLE SUNULUR UYGUNDUR
.../.../... .../.../...
189
Bilgi Güvenliği Politikaları Kılavuzu
KAYITTAN DÜŞME TEKLİF VE ONAY TUTANAĞINA İLİŞKİN AÇIKLAMALAR
Bu tutanak, çalınma veya kaybolma nedeniyle yok olan, yıpranma, kırılma ve bozulma nedeniyle kullanılamaz hale gelen ve hurdaya ayrılan taşınırlar ile canlı taşınırların ölümü gibi nedenlerle taşınırların kayıtlardan düşülmesi amacıyla üç nüsha olarak düzenlenir. Harcama yetkilisi veya üst yönetici tarafından onaylanan tutanağın bir nüshası, çıkış kaydına esas olmak üzere düzenlenen Taşınır İşlem Fişi ekine bağlanır. Bir nüshası, Taşınır İşlem Fişi ekinde muhasebe birimine gönderilir. Diğer nüshası ise dosyasında muhafaza edilir.
(1) Tüketim malzemelerinin kayıttan çıkarılmasında taşınır kodu, dayanıklı taşınırın kayıtlardan çıkarılmasında ise taşınır sicil numarası yazılır.
(2) Gıda, ilaç ve kimyasal maddeler gibi kullanım süresi dolduğunda kullanılması sakıncalı ve zararlı olan tüketim malzemeleri için doldurulacaktır.
(3) Bu bölüm komisyon kurulmasına gerek görülmeyen hallerde imzalanacaktır.
190
Bilgi Güvenliği Politikaları KılavuzuKLVZ-EK-04 DİSK İMHA FORMU
VERİ DEPOLAMA ÜNİTESİ BULUNAN TAŞINIRIN
S. No Marka Model Seri No HDD Seri No
1 2 3 4 5 6 7 8 9 10
İmha edilmesini talep ettiğim/ettiğimiz diskin/disklerin çerisindeki veriler nedeniyle ileride gündeme gelebilecek adli ve idari soruşturmalarda sorumluluğun şahsıma/şahsımıza ait olduğunu kabul ve beyan ederim/ederiz. …../….../20…..
Disk İçinde Bulunan Verilerin Sahibi Kişi(ler)
Dayanıklı taşınır kayıtlarında bulunan ve ……….. tarihli ve ……… sayılı onay ile oluşturulan komisyon üyelerinin değerlendirmesi sonucunda, ekonomik ömrünü tamamladığı, teknik ve fiziki nedenlerle kullanılmasında yarar görülmeyerek hizmet dışı bırakılması gerektiği ‘‘Kayıttan Düşme Teklif ve Onay Tutanağı’’ile tespit edilen taşınırların veri depolama üniteleri HEK komisyonunda bulunan üyelerin gözetiminde imha edilmiştir. ……/….../20..…
Teknik Uzman Üye Taşınır Kayıt Kontrol Yetkilisi Komisyon Başkanı
KLVZ-EK-05 KURUM BİLGİ VARLIKLARI ENVANTER ÇİZELGESİ
1 SBYS Sunucusu Donanım SBYS Uygulama
Sunucusu 1 Teknik Destek
Birimi
Hastane
Sunucu Odası Blade Sunucu
windows
server 2012 Gizli Üzerinde SBYS Veritabanı çalışan
sunucudur.
2 SBYS Uygulama
Bilgisayarı Donanım SBYS İstemci Bilgisayar 5 SBYS Uygulama Veri
Giriş Sorumlusu
Hasta Kabul
Deski Masaüstü
Bilgisayar Windows 10
pro Gizli Üzerinde SBYS Uygulaması çalılşan
istemci bilgisayardır.
3 İhale Dosyaları Fiziksel Bilgi
Varlıkları Hastane satın alma
ihale dosyaları Satın Alma Birimi Satın Alma
Birim Arşivi Klasör İhale kayıt
sistemi x sunucusu Gizli Alım işi ihale dosyaları 4 VPN Yazılımı Yazılım Özel sanal ağ yazılımı 1 Teknik Destek
Birimi
Gizli Forticlient özel sanal ağ yazılımı
5 SBYS Uygulama
Yazılımı Yazılım Sağlık bilgi yönetim
sistemi yazılımı 1 Teknik Destek
Birimi Gizli X Firması tarafından destek alınan
SBYS Yazılımı
6 Hasta Kabul
Süreci İş Süreçleri Rutin Hasta Kabulü Hasta kabul elemanı SBYS Gizli
Bireyin yaşamında acil,ciddi bir tehlike ve hayati fonksiyonlarını etkileyen acil bir durum olmadığı zaman yapılan kabul işlemidir.
7 Sistem Erişim Logları Kurumsal Bilgi
Varlıkları Sistem Yöneticisi
erişim logları İdari Yönetim Gizli Sistem kaynaklarına yapılan erişim
bilgileri
19 1
Bilgi Güvenliği Politikaları KılavuzuKLVZ-EK-06 RİSK HESAPLAMA FAKTÖRLERİ VARLIK DEĞERİ TABLOSU
GÜVENLİK
HEDEFİ DÜŞÜK (1) ORTA (2) YÜKSEK (3) ÇOK YÜKSEK (4)
GİZLİLİK Varlığa bir zarar gelmesi durumunda kritik bilgi açığa çıkmaz. Açığa çıkan hassas olmayan bilgileri kurumu etkilemez / çok az etkiler.
Varlığa bir zarar gelmesi durumunda kritik bilgi açığa çıkmaz. Açığa çıkan kritik bilgi kurumu etkiler. Söz konusu bilgi sadece kurum içerisindeki personelin bilmesi gereken bilgidir. Etki orta vadede telafi edilebilir.
Varlığa bir zarar gelmesi durumunda kritik bilgi açığa çıkar. Açığa çıkan kritik bilgi kurumu etkiler. Etki orta vadede telafi edilebilir. Söz konusu bilgi kuruma ve kişiye ait gizli bilgilerdir. (program, uygulama yazılımları, EBYS, ÇKYS vb, bilgisayar şifre ve /veya parolaları, kişisel bilgiler, sözleşme bilgileri, ihale bilgileri, personel bilgileri, hasta bilgileri)
Varlığa bir zarar gelmesi durumunda kritik bilgi açığa çıkar. Açığa çıkan kritik bilgi kurumu etkiler. Etki telafi edilemez ya da uzun vadede telafi edilebilir. (Kuruma ait çok gizli bilgiler -sistem, sunucular, network cihazları, veri tabanları erişimleri sağlayan şifre ve /veya parolalar, kurum stratejileri vb.- yetkisiz kişilerin eline geçmesi durumunda Sağlık Bakanlığına büyük ölçüde zarar verecek her türlü bilgi.)
BÜTÜNLÜK Varlığa bir zarar gelmesi durumunda kritik bilgi kontrol dışı değişmez. Kontrol dışı değişen hassas olmayan bilgiler kurumu etkilemez / çok az etkiler.
Varlığa bir zarar gelmesi durumunda kritik bilgi kontrol dışı değişmez. Kontrol dışı değişen kritik bilgi kurumu etkiler. Etki orta vadede telafi edilebilir.
(Elektronik imza / kayıt onay mekanizmasının kullanıldığı bilgi varlıkları)
Varlığa bir zarar gelmesi durumunda kritik bilgi kontrol dışı değişir. Kontrol dışı değişen kritik bilgi kurumu etkiler. Etki orta vadede telafi edilebilir. (Her kayıt için onay sürecinin olduğu, değişiklik kayıtlarının tutulduğu bilgi varlıkları)
Varlığa bir zarar gelmesi durumunda kritik bilgi kontrol dışı değişir. Kontrol dışı değişen kritik bilgi kurumu etkiler.
Etki telaf i edilemez ya da uzun vadede telaf i edilebilir. (Zaman damgalı elektronik imzanın kullanıldığı, onay kayıt sürecinin her adımda işlendiği bilgi varlıkları)
ERİŞİLEBİLİRLİK / KULLANILABİLİRLİK Varlığa bir zarar gelmesi durumunda kritik bilgiye erişilebilir. Erişilebilirliğine zarar gelen hassas olmayan bilgiler kurumu etkilemez / çok az etkiler.
(Uzun süreli kesintilerde iç ve dış hizmetleri aksatmayan bilgi varlıkları.)
Varlığa bir zarar gelmesi durumunda kritik bilgiye erişilebilir. Erişilebilirliğine zarar gelen kritik bilgi kurumu etkiler.
Etki orta vadede telaf i edilebilir.
(Kurumda verilen hizmetlerde
Varlığa bir zarar gelmesi durumunda kritik bilgiye erişilemez. Erişilebilirliğine zarar gelen bilgi kurumu etkiler. Etki orta vadede telaf i edilebilir. (Kurumda verilen hizmetlerde her hangi bir kesinti/aksama durumunda tolere edilebilecek süre 1 saat olup, bu süre içinde erişilebilir hale getirilmesi gereken bilgi varlıkları -IIS- Uygulama sunucuları – veritabanı - FW)
Varlığa bir zarar gelmesi durumunda kritik bilgiye erişilemez.
Erişilebilirliğine zarar
gelen bilgi kurumu etkiler. Etki telafi edilemez ya da uzun vadede telafi edilebilir. Kurumda verilen hizmetlerde her hangi bir kesinti/aksamaya tahammül bulunmamaktadır.
1. Tanımlanan her bir varlık için, varlık sahibi tarafından değer atanmalıdır.
2. Bir varlığın değerini belirlemek için Genel Müdürlüğümüz tarafından oluşturulan temel referans; varlığın gizlilik, bütünlük ve/veya erişilebilirliğini yitirdiğinde oluşabilecek zarardır. Yerine koyma maliyeti, gizli bilginin ifşası neticesinde oluşabilecek kurumsal itibar gibi soyut kavramlar da göz önüne alınmalıdır.
3. Varlık sorumlusu, varlığa değer belirleme aşamasında gizlilik, bütünlük ve erişilebilirlik için ayrı değerler atayabilir. Örneğin bir web sitesi için değer atanırken;
*web sitesinin gizlilik değeri için düşük - 1 puan (açığa çıkan bilgi kuruma zarar vermez),
*web sitesinin erişilebilirlik değeri için orta - 2 puan (3 saate kadar ulaşılamaması durumunda hizmet süreci aksamaz)
*web sitesinin bütünlük değeri için yüksek - 3 puan (kontrol dışı değişen bilgi kuruma zarar verir) atayabilir.
Bu durumda varlığa verilecek nihai değer, belirlenen tüm değerlerin maksimumu olmalıdır.
Varlık sahibi tarafından varlığa atanan değer, varlığın korunması için harcanacak kaynakların belirlenmesi için referans değer oluşturacağı için dikkatlice değerlendirilerek atanması gerekir.
1 9 2
Bilgi Güvenliği Politikaları KılavuzuBilgi Güvenliği Politikaları Kılavuzu
193
RİSKİN GERÇEKLEŞME OLASILIĞI
Düşük (1) Bilgi Güvenliği İhlali, saldırı, olumsuz bir olayın olma ihtimali %1 ile %10 arasındadır.
Düşük (2) Bilgi Güvenliği İhlali, saldırı, olumsuz bir olayın olma ihtimali 11%
ile %39 arasındadır.
Orta (3) Bilgi Güvenliği İhlali, saldırı, olumsuz bir olayın olma ihtimali 40%
ile %69 arasındadır.
Yüksek (4) Bilgi Güvenliği İhlali, saldırı, olumsuz bir olayın olma ihtimali 70%
ile %80 arasındadır.
Çok Yüksek (5) Bilgi Güvenliği İhlali, saldırı, olumsuz bir olayın olma ihtimali en az 81% ve üzeridir.
GİZLİLİK ETKİ DEĞERİ
Düşük (1/2)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin gizliliğe etkisi düşük olur. Kurum imajı etkilenmez, zarar çok kısa vadede telafi edilebilir ve iş süreci aksamaz.
Orta (3)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin gizliliğe etkisi orta derecede olur. Kurum imajı belirli oranda zarar görür. İtibar kaybı ve yasal yükümlülük açısından zarara yol açmaz.
Yüksek (4)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin gizliliğe etkisi yüksek şiddette olur. Medyada yayınlanacak şekilde kurum imajı zedelenir. Zarar orta vadede telafi olunur. Yüksek ek maliyetler doğar ya da çalışanların motivasyonu üzerinde ciddi olumsuz etkiye yol açar.
Çok Yüksek (5)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin gizliliğe etkisi çok yüksek şiddette olur. Yıkıcı / felaket düzeyinde etki gerçekleşir. Kurum çok ciddi itibar kaybına uğrar. Yasal yükümlülükler doğurur ve çok yüksek ek maliyetler doğar.
194
Bilgi Güvenliği Politikaları KılavuzuBÜTÜNLÜK ETKİ DEĞERİ
Düşük (1/2)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin bütünlüğe etkisi düşük olur. Bütünlük ihlali kurum imajını etkilemez. Sistem ve işleyişte performans sorunu gerçekleşmez.
Orta (3)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin bütünlüğe etkisi orta derecede olur. Bütünlüğü kaybedilen bilgi kurum imajına zarar verir. Ek iş maliyetlerinin doğmasına neden olur.
Yüksek (4)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin bütünlüğe etkisi yüksek şiddette olur. Kritik iş süreçlerinin zarar görmesi kuruma kritik derecede zarar verir.
Çok Yüksek (5)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonucunda riskin bütünlüğe etkisi çok yüksek şiddette olur. Bütünlüğün sağlanamaması felaket düzeyde etkiye neden olur. Yasal yükümlülükler doğurur, çok yüksek ek maliyetler doğar.
ERİŞİLEBİLİRLİK ETKİ DEĞERİ
Düşük (1/2)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonu- cunda riskin erişilebilirliğe etkisi düşük olur. Risk kurum dışına yansıya- cak düzeyde değildir. İş süreçlerinin aksamasına neden olmaz.
Orta (3)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonu- cunda riskin erişilebilirliğe etkisi orta derecede olur. Belirli bir hizmette yavaşlama ya da küçük çapta iş kesintileri oluşur. Erişilemeyen bilgi orta vadede yerine koyulabilir.
Yüksek (4)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının sonu- cunda riskin erişilebilirliğe etkisi yüksek şiddette olur. Olumsuzluk kurum dışına yansır. İş kaybı oluşur, yüksek maliyetler doğar.
Çok Yüksek (5)
Tehdidin gerçekleşmesi durumunda oluşan bilgi güvenliği olayının so- nucunda riskin erişilebilirliğe etkisi çok yüksek şiddette olur. Kurum çok ciddi iş kaybına uğrar. Etki yıkıcı / felaket düzeyinde olur. Yasal yükümlü- lükler doğar. Zarar telafi edilemez / uzun vadede telafi edilebilir.
KLVZ-EK-07 RİSK İYİLEŞTİRME PLANI
RİSK ANALİZİNE ESAS OLAN ENVANTER
Risk No
Varlık Grubu /
Hizmet Varlık Adı Varlık Sahibi Varlık Yeri Tehdit Risk Tanımı Etkilenecek Varlıklar Muhtemel Sonuçlar Riskin Sahibi Riskin
Oluştuştuğu Yıl
Bir önceki dönem risk puanı RİSK DEĞERLENDİRME RİSK İŞLEME PLANI
Riskin Gerçekleşme Olasılığı İşe Etki Varlık Değeri Gerçek Risk Değeri Risk Seviyesi
Risk Kararı Seçilen Kontrol
Kriterleri Gözden
Geçirme Tarihi Sonuçların Değerlendirilmesi Yeni
Olasılık Yeni Etki Yeni Risk
Puanı Risk Kararı Planlanan Aksiyon Kaynak/
Finansman
Bir sonraki gözden geçirme
Açıklama: Alttaki tablo, üsteki tablonun sağına konularak tek bir tablo olarak kullanılır. Tablonun Excell Formatındaki işlenebilir sürümü için bilgiguvenligi@saglik.gov.tr adresinden talepte bulunulur.
1 9 5
Bilgi Güvenliği Politikaları KılavuzuKLVZ-EK-08 E-POSTA TALEP FORMU / GERÇEK KİŞİLER
HİZMETE ÖZEL
E-POSTA TALEP FORMU - GERÇEK KİŞİLER İÇİN
Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa
BG.FR.18 10.1.2013 12.12.2016 1 1
Bu Sütunlarda Türkçe Harf Kullanmayınız. Tanımlanacak "SİSTEM ADI" sütunları (AD nokta SOYAD olmalıdır) Tanımlanacak "SİSTEM ADI" sütunları 20 karakteri geçemez
SIRA T.C. Kimlik
SİSTEM ADI Mevcut Yaptığı Görevi
KLVZ-EK-09 E-POSTA TALEP FORMU / TÜZEL KİŞİLER
HİZMETE ÖZEL
E-POSTA TALEP FORMU - TÜZEL (BİRİM) KİŞİLER İÇİN
Kodu Yayınlama tarihi Revizyon Tarihi Revizyon No Sayfa
BG.FR.19 10.1.2013 12.12.2016 1 1
Bu Sütunlarda Türkçe Harf Kullanmayınız. Tanımlanacak "SİSTEM ADI" sütunları 20 karakteri geçemez
Mail adresinin
19 7
Bilgi Güvenliği Politikaları Kılavuzu198
Bilgi Güvenliği Politikaları KılavuzuKurum Telefon No Cep Telefon
e-Posta Adresi *@saglik.gov.tr
Kullanım Türü Gerçek Zamanlı
Sunucu Test Sunucusu
Kullanıma Başlama Tarihi Kullanım Bitiş Tarihi
Sunucuya Erişim Yetkisi
Verilecek Diğer Kullanıcılar Adı, Soyadı, e-Posta Adresi, Görevi, Tlf.Nu.
Yedekleme İhtiyacı Evet Hayır
DNS Kaydı İsteniyor mu? Evet Hayır
DNS Adı ………saglik.gov.tr
Veri Tabanı İhtiyacı Var mı? Evet Hayır
Sistem Gereksinimleri Talep Edilen Sağlanan
İşlemci
Sunucu Talebi Yapan Kişinin Görev ve Sorumlulukları
• Sunucudaki bilgilerin ve içeriklerin sorumluluğu sunucu sahibine aittir.
• Sunucuya ait erişim bilgileri sadece yetkili kullanıcıya verilir. Tanımlanan bu yetkili hesaplar devredilemez veya değiştirilemez.
• Sunucuya ait erişim bilgileri yetkili dışında kimse ile paylaşılamaz. Sorumluluk yetki tanımlanmış olan kullanıcıya aittir.
• Sunucu sahibi, sunucu üzerindeki aykırı işlemler sonucu doğabilecek tüm hukuki ve cezai sorumluluğu kabul etmektedir.
Bilgi Güvenliği Politikaları Kılavuzu
199
KLVZ-EK-11 VERİ TABANI / KULLANICI OLUŞTURMA FORMU 1. ORTAK BÖLÜM:
TALEP İLE İLGİLİ TEMAS PERSONELİ ADI VE SOYADI
2. VERİ TABANI OLUŞTURMATALEPLERİ İÇİN DOLDURULACAK BÖLÜM:
DİL VE KARAKTER KÜMESİ SEÇENEĞİ
TAHMİNİ VERİ TABANI BOYUTU (BİR YIL SONRASI İÇİN) (GB)
3. KULLANICI OLUŞTURMATALEPLERİ İÇİN DOLDURULACAK BÖLÜM:
KULLANICI ADI
200
Bilgi Güvenliği Politikaları KılavuzuFORMUN KULLANIMI İLE İLGİLİ HUSUSLAR:
1. Mevcut bir veri tabanı için yeni kullanıcı ekleme işlemleri için 1 ve 3’üncü bölümler doldurulur.
2. Sistem Yönetimi ve Bilgi Güvenliği Dairesi Başkanlığınca (gerekiyorsa) 1’inci bölümde ismi yazan temas personeli (telefon veya e-Posta) ile iletişime geçilerek taleple ilgili detay bilgiler alınır.
3. İlk defa veri tabanı oluşturma işlemi sonrasında, oluşturulan veri tabanı ile ilgili bilgiler (sunucu adı, IP adresi, port numarası, kullanıcı adı, kullanıcı erişim bilgileri vb.) resmi yazı ile talep makamına, parola bilgileri ilgili kişilerin SMS adreslerine gönderilir.
4. Kullanıcı oluşturma işlemlerinde, işlemin gerçekleştirildiği bilgisi, temas personeline e-Posta ile bildirilir.
5. Veri tabanı yöneticileri ile iletişim için dbagrubu@saglik.gov.tr e-Posta adresi kullanılır.
Bilgi Güvenliği Politikaları Kılavuzu
201
KLVZ-EK-12 PERSONEL GİZLİLİK SÖZLEŞMESİ
Bu sözleşme ……. / …… / 20….. tarihinde, aşağıda yer alan hükümler çerçevesinde, (T.C. Sağlık Bakanlığı ……. Genel Müdürlüğü / ……Kurumu/…..
İl Sağlık Müdürlüğü)3 (Kurum) ile aşağıda kimlik bilgileri yazılı kişi (Personel) arasında akdedilmiştir.
1. TANIMLAR:
Kuruma Ait Gizli Kalması Gereken Bilgiler:
1.1 13/05/1964 tarihli ve 6/3048 sayılı Bakanlar Kurulu kararı ile yürürlüğe konulan “Gizlilik Dereceli Evrak ve Gerecin Güvenliği Hakkındaki Esaslar” ile tanımlanmış ve usulüne uygun olarak etiketlenmiş olan ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL gizlilik derecesindeki her türlü veri, bilgi ve belge.
1.2 Kurum tarafından işlenen (24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan) kişisel veriler ile (21/06/2019 tarihli ve 30888 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik ile tanımlanan) kişisel sağlık verileri.
1.3 Kuruma veya hizmet sunulan ilgili birime ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar, bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin çalışma süresi içerisinde yapmış olduğu işler.
1.4 Açıklanması halinde kişi ve kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan her türlü bilgi ve belge.
2. YÜKÜMLÜLÜKLER:
2.1 Personel, kuruma ait gizli bilgilerin korunması için aşağıdaki kurallara uyacağının beyanı olarak bu sözleşmeyi imzalar.
2.2 Personel, Sağlık Bakanlığı Bilgi Güvenliği Politikaları Yönergesi ve Bilgi Güvenliği Politikaları Kılavuz’unda yer alan koşullara uygun hareket eder.
3 Uygun olanı yazılır. Diğerleri silinir.
202
Bilgi Güvenliği Politikaları Kılavuzu2.3 Personel, bu sözleşme hükümlerine uygun davranmaktan, ihlali halinde
2.3 Personel, bu sözleşme hükümlerine uygun davranmaktan, ihlali halinde