20.1. Kurum çalışanları ve vatandaşlar tarafından tespit edilen Sağlık Müdürlüğü ile ilgili her türlü bilgi güvenliği ihlal olayı https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir adresinde yer alan ihlal bildirim sistemine girilir.
20.2. İhlal birim sistemi dışında, herhangi bir kurum/birim tarafından bilgi güvenliği ihlal olaylarının bildirimi için ayrı bir sistem/yazılım kurulmasına gerek yoktur.
20.3. Hizmet verdiği kurumla birlikte diğer kurum ya da kişileri etkileyecek şekilde iş sürekliliğine zarar veren veya durduran, acil müdahale gereken, kurum imajına zarar verebilecek ihlal olaylarında Sağlık Bakanlığı Bilgi Güvenliği ve SOME ekiplerinden görüş/destek alınır.
21. İNTERNET KULLANIM PROSEDÜRÜ VE E-POSTA KULLANIM PROSEDÜRÜ 21.1. İNTERNET KULLANIM PROSEDÜRÜ
1. Amaç
Bu doküman, İzmir İl Sağlık Müdürlüğü ve bağlı tesislerdeki kullanıcıların internet kullanım prosedürünü tanımlamaktır.
2. Kapsam
Bu politika, İzmir İl Sağlık Müdürlüğü tarafından sağlanan ağ altyapısı ve internet hizmetinden yararlanan tüm kullanıcıları kapsamaktadır.
3. İçerik
Bilgi iletişiminin sağlıklı ve etkin bir şekilde devam etmesi ve bilgi güvenliğinin sağlanması amacıyla tüm kullanıcıların aşağıda belirtilen internet kullanım kurallarına uymaları gerekmektedir.
3.1 Müdürlüğümüz ve bağlı birimlerinde sağlanan internet hizmeti asgari olarak Sağlık Bakanlığı uygulamaları ile sağlık hizmetlerinin yürütülebilmesi için ilgili sitelere erişimi amaçlar.
Bunların dışında, güvenilir olarak tanımlanan ve açılmasında sakınca görülmeyen sitelere erişim (bankacılık, haber-medya, sosyal ağlar vb.) Sağlık Bilgi Sistemleri Birimi tarafından
32
yönetilmektedir. Ağ üzerindeki kişisel kullanımlar hiçbir zaman diğer kullanıcıların birincil ağ erişim gereksinimlerini yerine getirmelerine engel olmamalıdır.
3.2 Güvenlik duvarından geçmeyen internet erişim yöntemleri (ADSL modem vb.) kesinlikle kullanılmamalıdır. Bu konuda bakanlığımızın SBA (Sağlık Bilişim Ağı) devreleri kullanımıyla ilgili yönetmelikler uygulanmaktadır.
3.3 Kamu zararlarının tahsiline ilişkin usul ve esaslar hakkında yönetmeliğin 5. Maddesi’ne göre;
“5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununu ilgili maddeleri gereğince kamu görevlileri; kamu kaynaklarının etkili, ekonomik, verimli ve hukuka uygun olarak elde edilmesinden, yönetilmesinden, kullanılmasından, korunmasından, kötüye kullanılmaması ve her an hizmete hazır bulundurulması için gerekli önlemlerin alınmasından sorumludurlar”.
3.4 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca telife sahip dosyaların transferi, kopyalanması ve dağıtımı yapılmamalıdır. Dosya paylaşım (Peer-to-peer) programları vasıtasıyla film, müzik, lisanssız yazılımlar vb. dosya paylaşımı telif haklarını ihlal etmekle birlikte yüksek bant genişliği ile ağ kaynaklarını olumsuz etkileyerek ağ trafiğinde yavaşlamaya neden olmaktadır. Bu sebeple bu tür yazılımlar kullanılmamalıdır.
3.5 Ağ kaynakları şahsi kazanç ve kar amacı ile kullanılmamalıdır.
3.6 İnternet üzerinden kurumun verileri, üçüncü kişiler ile paylaşılmamalıdır.
3.7 Kullanıcılar ağda bulunan diğer kullanıcıların kişilik haklarına saygılı davranmalı, kişisel bilgilerinin güvenliğini tehdit edici eylemlerde bulunmamalıdır (örneğin ağ trafiğindeki paketlerin dinlenmesi vb.).
3.8 Kullanıcılar internet hizmetinin verilmesini sağlayan donanıma (switchler, kablolar, duvar prizleri vb.) hiç bir şekilde müdahale edemez, ayarlarını değiştiremezler. Bu uygulamalar gerek görüldüğü takdirde sadece Sağlık Bilgi Sistemleri Birimi bünyesindeki sorumlular tarafından gerçekleştirilir.
3.9 Kullanıcılar Sağlık Bilgi Sistemleri Biriminin bilgisi olmadan ağa aktif cihazlar (switch, modem, kablosuz erişim cihazı vb.) dahil edemezler.
3.10 Kullanıcılar, kurumun sağladığı bilgisayarlarda Sağlık Bilgi Sistemleri Birimince kurulacak antivirüs yazılımını kullanmak zorundadırlar.
3.11 Kullanıcılar ağa bağlantı yaptıkları kişisel cihazlarına (notebook, tablet, akıllı telefon vb.) lisanslı bir antivirüs programı yüklemek ve işletim sistemi ile içindeki programların güvenlik güncellemelerini yapmakla yükümlüdürler.
3.12 Mecbur kalınmadıkça bilgisayarlar ağda paylaşıma açılmamalıdır. Eğer açılması gerekliyse bir parola ile korunmaya alınmalıdır.
3.13 Web sitelerinden virüs bulaşmasına engel olmak için İnternet Tarayıcılarının (Internet Explorer, Chrome, Firefox, vb.) güvenlik ayarları orta düzeyin üzerinde tutulmalıdır.
3.14 İnternet üzerinden sadece Sağlık Bakanlığı tarafından yayınlanan eğitimlere giriş izin verilmektedir.
3.15 Kurum içerisinde, kullanıcı profillerine göre internet erişimi sağlanmaktadır. Güvenlik duvarı üzerinden uygulanan erişim kuralları kategorilere göre belirlenmektedir.
3.16 İnternet üzerinde ayrıcalıklı erişim talepleri, resmi yazı veya kurumsal e-Posta ile Sağlık Bilgi Sistemleri Birimine bildirilir. Ayrıcalıklı erişim hakkı elde eden personelin yer ve görev değişikliği olması durumunda bilgi verilmesi gerekmektedir.
3.17 Bu kurallardan herhangi birisinin ihlal edildiğini gören kişi, ilgili makamları veya Bilgi Güvenliği Yetkililerini uyarmakla sorumludur.
3.18 Kurumsal kaynakların etkin olarak kullanılması, 5651 sayılı kanundan kaynaklanan uyum zorunlulukları, veri güvenliğinin sağlanması, zararlı içerik ve yazılımlardan korunma vb.
maksatlarla internet erişimi kısıtlamaları yapılabilir. Kısıtlama ile ilgili politikalar belirlenirken aşağıdaki hususlar dikkate alınır:
Ulusal Siber Olaylara Müdahale ekibi (USOM) ve Siber Olaylara Müdahale Birimi (SOME) tarafından yayınlanan zararlı içerik barındıran URL adresleri erişime kapatılır.
Virüs, Spyware, Malware, Trojen, Spam, Solucan, Hacking (korsan), Fishing (oltalama) saldırıları içerdiği tespit edilen güvenlik seviyesi düşük internet sitelerine erişimler kapatılır.
Alkol, sigara, uyuşturucu, silah vb. sağlığa zararlı ürünlerin reklam ve satış sitelerinin erişimleri engellenir.
Erotik içerikli siteler, çocuk istismarı, bahis ve kumar siteleri, oyun siteleri erişime kapatılır.
Kurumun internet bant genişliğini olumsuz etkileyen uygulama ve sitelerin (Torrent, P2P, Streaming Media, Download vb.) erişimleri engellenir.
Basın yayın organlarını takip ederek idareye raporlamakla sorumlu personel haricindeki tüm personelin dizi, film ve TV erişimlerinin kapatılır.
Kuruma ait sosyal medya hesaplarını yönetmekle sorumlu personel dışındaki tüm personelin Facebook, Twitter, Instagram vb. uygulamalara erişimleri engellenir veya bant genişliği sınırlaması yapılır.
Youtube, Vimeo, Dailymotion gibi platformlarda erişimlerle ilgili olarak sadece ihtiyaç duyan personele izin verilir veya bu platformlara erişimlere bant genişliği sınırlaması yapılır.21.2. E-POSTA KULLANIM POLİTİKASI
1. Amaç: Bu politikanın amacı, T.C. Sağlık Bakanlığı İzmir İl Sağlık Müdürlüğü “@saglik.gov.tr”
uzantılı e-posta mesajlarında alma, gönderme, yönlendirme ve otomatik gönderme kurallarına genel kuralları tanımlamaktır.
2. Kapsam: Bu politika, T.C. Sağlık Bakanlığı İzmir İl Sağlık Müdürlüğü bünyesinde kurumun sağladığı resmi e-posta hesabı olan tüm kullanıcılar içindir.
3. İçerik
3.1. İzmir İl Sağlık Müdürlüğü hizmet veren ve İzmir İl Sağlık Müdürlüğü fiziki alanlarında çalışan tüm personel (memur, danışman ve firma) için kurumsal e-posta (@saglik.gov.tr) hesabı tahsis edilir ve tüm iş amaçlı e-postaların kurumsal e-posta hesabı ile gerçekleştirilmesi zorunludur.
3.2. Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz.
3.3. İş dışı konulardaki haber grupları kurumsal e-posta adres defterine eklenemez.
3.4. E-Posta hesapları, kurum içi ve dışı başka kullanıcılara Spam (istenmeyen e-posta), Phishing (kimlik avı) mesajlar göndermek için kullanılamaz.
3.5. Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.
3.6. Hiçbir kullanıcı, gönderdiği e-posta adresinin Kimden bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.
3.7. Personel konu alanı boş bir e-posta mesajı göndermemelidir.
3.8. Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
3.9. E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz.
Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip ve/ya rar formatında) mesaja eklenecektir.
3.10. Kurum ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
3.11. Kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajlar gönderilemez. Bu tür özelliklere sahip bir mesaj alındığında İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine haber verilmelidir.
3.12. Kullanıcı hesapları, doğrudan ya da dolaylı, ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-posta gönderilmesi yasaktır.
3.13. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-posta alındığında, e- posta başka kullanıcılara iletilmeden İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine haber verilmelidir.
3.14. Zararlı e-posta, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmemelidir.
3.15. Kullanıcı hiçbir suretle kurumsal e-posta ile uygun olmayan içerikler (siyasi propaganda, ırkçılık, pornografi, fikri mülkiyet içeren malzeme, vb.) gönderemez.
3.16. Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur.
3.17. Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından
34 okunmasını engellemelidir.
3.18. Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine haber vermelidir.
3.19. Kullanıcı, posta hesabını sürekli kontrol etmeli; kurumsal e-postalara, kurum iş akışının aksamaması için zamanında yanıt vermelidir.
3.20. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine haber verilmelidir.
3.21. Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının çalındığını fark ettiği anda İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine haber vermelidir.
SÖZLEŞMELER
a. İzmir İl Sağlık Müdürlüğü Bilgi Güvenliği Farkındalık Bildirgesi b. İzmir İl Sağlık Müdürlüğü Kurumsal Gizlilik Taahhütnamesi c. İzmir İl Sağlık Müdürlüğü Personel Gizlilik Sözleşmesi
T.C. SAĞLIK BAKANLIĞI İZMİR İL SAĞLIK MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ FARKINDALIK BİLDİRGESİ
1. AMAÇ:
Bilgi Güvenliği Farkındalık Bildirgesi, T.C. Sağlık Bakanlığı İzmir İl Sağlık Müdürlüğü bünyesinde görev yapan memurlar ve diğer kamu görevlilerinin, hizmetin yapılması esnasında veya herhangi bir şekilde öğrendikleri kuruma ait gizli kalması gereken bilgilerin usulüne uygun olarak korunması için kişisel olarak uymakla sorumlu oldukları bilgi güvenliği kurallarını tanımlamak amacıyla hazırlanmıştır.
2. KAPSAM:
Bu bildirge, Kurum bünyesinde görev yapan memurlar ve diğer kamu görevlileri için hazırlanmıştır. Kuruma ait gizli kalması gereken bilgileri işleyen diğer personele (yükleniciler, stajyerler vb.) T.C. Sağlık Bakanlığı İzmir İl Sağlık Müdürlüğü Bilgi Güvenliği Politikaları Kılavuzu ekinde yer alan “Personel Gizlilik Sözleşmesi” hükümleri uygulanır.
3. YASAL DAYANAK:
Bu bildirge, 657 Sayılı Devlet Memurları Kanununun Gizli Bilgileri açıklama yasağı başlıklı 31’nci maddesine, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 2018 sayılı kararının 2’nci maddesinin b fıkrasına, Kişisel Verileri Koruma Kurulunun 26/12/2019 tarihli ve 2019/393 sayılı kararına, 02/05/2018 tarihli Sağlık Bakanlığı Bilgi Güvenliği Yönergesine ve Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzunun 10.5’nci maddesine istinaden hazırlanmıştır.
4. TANIMLAR:
Bu bildirgede geçen;
4.1 Kurum: İzmir İl Sağlık Müdürlüğü
4.2 Kuruma Ait Gizli Kalması Gereken Bilgiler:
4.2.1 13/05/1964 tarihli ve 6/3048 sayılı Bakanlar Kurulu kararı ile yürürlüğe konulan “Gizlilik Dereceli Evrak ve Gerecin Güvenliği Hakkındaki Esaslar” ile tanımlanmış ve usulüne uygun olarak etiketlenmiş olan ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL gizlilik derecesindeki her türlü veri, bilgi ve belgeyi,
4.2.2 Kurum tarafından işlenen (24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan) kişisel veriler ile (21/06/2019 tarihli ve 30888 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik ile tanımlanan) kişisel sağlık verilerini,
4.2.3 Açıklanması halinde kişi ve kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan her türlü bilgi ve belgeyi,
4.2.4 Bakanlığa veya hizmet sunulan ilgili birime ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar; bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin çalışma süresi içerisinde yapmış olduğu işleri ifade eder.
5. PERSONELİN YÜKÜMLÜLÜKLERİ:
5.1 Kuruma ait gizli kalması gereken bilgiler, yasal zorunluluklar ve kurum tarafından resmi olarak izin verilmesi halleri dışında, ilgili mevzuatta belirtilen önlemler alınmak suretiyle koruma altında tutulur. Kurum tarafından aksi belirtilmedikçe, söz konusu bilgiler yasal işleme amaçları haricinde doğrudan veya dolaylı olarak kullanılamaz, başka kişi veya kurumlara aktarılamaz, yayımlanamaz, açıklanamaz veya kişisel kopyaları alınamaz.
5.2 Kuruma ait gizli kalması gereken her türlü bilgi, sır olarak saklanır. Çalışanlar bunları sır olarak saklamak, üçüncü kişilere inceletmemek, söylememek, iletmemek ve açıklamamakla yükümlüdür. Bu yükümlülük, çalışanların Kurum ile ilişkisi sona erse de devam eder.
5.3 Kurumsal ve kişisel sosyal medya hesapları kullanılırken, görevin gerektirdiği dikkat ve özen gösterilir. Kuruma ait gizli kalması gereken bilgiler, hastalara ilişkin kişisel bilgiler (hasta görüntüleri dâhil) hiçbir şekilde sosyal medya ortamlarında paylaşılmaz.
5.4 Kuruma ait gizli kalması gereken bilgiler, veri aktarımı vb. maksatlarla geçici süre için olsa dâhi Bakanlığımız kontrolünde olmayan depolama alanlarında (Google Drive, iCloud, Yandex Disk, We Transfer, Rapid Share vb.) bulundurulamaz. Bu bilgiler mobil uygulamalar (WhatsApp, Massenger, Line, Viber, Telegram, WeChat, Skype, SnapChat vb.) ve sosyal medya platformları (Facebook, Youtube, Instagram, Twitter, Linkedin vb.) üzerinde işlenemez. Personelin şahsi e-posta hesapları (*@gmail.com,
*@yandex.com vb.) üzerinden aktarılamaz.
5.5 Kurum tarafından uygun görülen sistemler, uygulamalar, kullanıcı işlemleri ve bilgi sistem ağındaki verilerin ve veri akışının iz kayıtları; hukuki ve idari süreçlere kaynak teşkil etmesi ve sistemlerin güvenli bir şekilde işletilmesi amacıyla toplanır.
5.6 Çalışanlar, kurum tarafından kendisine verilen bilgisayar, tablet, telefon, taşınabilir medya gibi cihazları sadece göreve yönelik, kurumsal faaliyetler için kullanır. Yürütülecek adli ve idari soruşturmalar kapsamında olmak şartıyla, söz konusu cihazlar ve çalışanların kurum bilişim sistemleri üzerinde yapmış olduğu işlemler, ilgili personele ayrıca herhangi bir bilgilendirme yapılmaksızın kontrol edilebilir.
36
5.7 Çalışanlara tahsis edilen kullanıcı adı ve parola bilgileri hiçbir şekilde üçüncü kişiler ile paylaşılmaz. Çalışanlar, kurumdan ayrılmaları halinde kendilerine tahsis edilen kullanıcı adı ve parolaları iptal ettirmekle; kullandıkları bilgisayar ve/veya diğer elektronik veri depolama cihazlarında oluşturduğu veri, bilgi ve belgeler dâhil tüm dosyaları, cihazları ve ofis malzemelerini eksiksiz olarak kurum yetkilisine teslim etmekle ve bunların kopyalarını almamakla yükümlüdür.
5.8 Çalışanlar, bilgisayarlarını kendilerine tahsis edilen kullanıcı adı/parola ile oturum açmak suretiyle kullanır. Çalışma sona erince ilgili oturum veya bilgisayar kapatılarak, üçüncü kişilerin bilgisayardaki bilgilere erişimi engellenir. Bilhassa güvensiz ortamlarda, kurum bilgisayarlarının fiziki güvenliği için azami çaba sarf edilir.
5.9 Çalışanlar, kendilerine tahsis edilen kullanıcı adı/parola ikilisi ve/veya IP/MAC adresini kullanılarak gerçekleştirilen her türlü etkinlikten kişisel olarak sorumludur. Aynı şekilde kurum bilişim kaynakları kullanılarak oluşturulan ve/veya tahsis edilen bilişim kaynağı üzerinde bulundurulan her türlü bilgi, belge, doküman, yazılım vb. içeriğinden ilgili kişi şahsen sorumludur.
5.10 Çalışanlar, kendilerine teslim edilen kullanıcı adı ve parolanın gizli kalmasını sağlamakla yükümlüdür. Çalışanların şahsi kusurları nedeniyle kullanıcı adı ve parolalarının üçüncü kişiler tarafından öğrenilmesi halinde, bu bilgiler kullanılarak yapılan iş ve işlemlerden, şahsen sorumlu tutulabilir.
5.11 5651 sayılı Kanun gereğince Kurum tarafından sağlanan İnternet üzerinden yapılan erişim kayıtları yasada öngörülen süreler boyunca tutulur. Çalışanlara tahsis edilen kullanıcı adı ve parola kullanılmak suretiyle usulüne uygun olarak kayıt altına alınan işlemlerden, kullanıcı adı tahsis edilen kişi yasal olarak sorumlu tutulur.
5.12 Çalışanlara tahsis edilen *@saglik.gov.tr uzantılı tüzel ve kurumsal e-posta hesapları, sadece görevle ilgili faaliyetler için kullanılır. Kurum içinde veya dışındaki kişilere iş ile ilgili olmayan toplu ve/veya kişisel e-posta gönderilmez. Çalışanlar, kurum içine veya kurum dışına göndermiş oldukları tüm e-postalardan kişisel olarak sorumludur.
5.13 Çalışanlar, kendilerine teslim edilmiş yazılım, donanım, araç ve gereç üzerinde; kurum bilgisi dışında mekanik (donanım ekleme, kaldırma vb.) ya da yazılımsal değişiklik (yeni yazılım yükleme, kurum tarafından koyulan bir kısıtlamayı aşmak üzere bilgisayar ayarlarını değiştirme vb.) yapamaz.
5.14 Çalışanlar, kurum tarafından yüklenen işletim sistemi ve uygulama yazılımları haricinde, ilgili birimlerin bilgisi dışında başka yazılımları yükleyemez. Kurum tarafından yüklenmemiş yazılımlardan doğacak sorumluluk, ilgili bilgisayarın sahibi olan kişiye aittir.
5.15 Bilgi güvenliği ihlal olayları vakit geçirilmeksizin Sağlık Bakanlığı merkezi ihlal bildirim sistemine (https://bilgiguvenligi.saglik.gov.tr/Home/OlayBildir ) girilir.
5.16 Çalışanlar, kişisel veri ihlâline ilişkin herhangi bir bilgi alır veya tespitte bulunur ya da bu konuda şüphe duymasını gerektirecek nitelikte bulgularla karşılaşırsa, bu durum 24 saatten geç olmamak üzere en kısa sürede İzmir İl Sağlık Müdürlüğü Sağlık Bilgi Sistemleri Birimine bildirir. Bildirim için bir üst maddede belirtilen ihlal bildirim sistemi de kullanılabilir. Bildirimin geç yapılması nedeniyle veri koruma mevzuatında öngörülen 72 saatlik süreye riayet edilememesi durumunda personelin idari sorumluluğu doğabilir.
6. UYGULAMA YÖNTEMİ
Bu bildirgenin memurlar ve diğer kamu görevlilerine imzalatılması ve personelin diğer özlük belgeleri ile birlikte şahsi dosya vb. ortamlarda saklanması mecburiyeti yoktur. İlgili kurumlar, bünyelerinde görev yapan memurlar ve diğer kamu görevlilerini konu hakkında bilgilendirmek ve çalışanların bilgi güvenliği farkındalık düzeyini artırmak maksadıyla, kendileri için en uygun yöntemi kullanmak suretiyle, bildirgenin personele tebliğ edilmesini sağlarlar.
Adı Soyadı / Tarih / İmza
37
T.C. SAĞLIK BAKANLIĞI İZMİR İL SAĞLIK MÜDÜRLÜĞÜ KURUMSAL GİZLİLİK TAAHÜTNAMESİ
1 TARAFLAR, AMAÇ VE İŞİN TANIMI
1.1 T.C. Sağlık Bakanlığı İzmir İl Sağlık Müdürlüğü, Sümer Mahallesi 451 Sokak No:2 Konak/İzmir adresinde1 faaliyet göstermekte olup bundan sonra “Müdürlük” olarak anılacaktır.
1.2 Müdürlük ile aramızda 1.3. maddede yazılı iş/faaliyet kapsamında; sözleşme, protokol veya benzeri adlar altında imzalanmış ve/veya imzalanması planlanan akdi ilişkinin amaçlarını gerçekleştirmek üzere Müdürlüğe ait ve
“GİZLİ BİLGİ” niteliği taşıyan yazılı ve/veya sözlü bilgilere ulaşacak olmamız sebebiyle, aşağıdaki hususlara riayet etmeyi peşinen kabul ve taahhüt ederiz.
1.3 İş/Faaliyet Tanımı2 :………
………
………...
2 GİZLİ BİLGİNİN TANIMI
2.1 Aşağıdaki bilgileri kesinlikle “GİZLİ BİLGİ” olarak kabul ederiz:
2.1.1 13/05/1964 tarihli ve 6/3048 sayılı Bakanlar Kurulu kararı ile yürürlüğe konulan “Gizlilik Dereceli Evrak ve Gerecin Güvenliği Hakkındaki Esaslar” ile tanımlanmış ve usulüne uygun olarak etiketlenmiş olan ÇOK GİZLİ, GİZLİ, ÖZEL ve HİZMETE ÖZEL gizlilik derecesindeki her türlü veri, bilgi ve belge.
2.1.2 Kurum tarafından işlenen (24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tanımlanan) kişisel veriler ile (21/06/2019 tarihli ve 30888 sayılı Kişisel Sağlık Verileri Hakkında Yönetmelik ile tanımlanan) kişisel sağlık verileri.
2.1.3 Müdürlüğe veya hizmet sunulan ilgili birime ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar, bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile yüklenici ve çalışanlarının çalışma süresi içerisinde yapmış olduğu işler.
2.1.4 Açıklanması halinde kişi ve kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan her türlü bilgi ve belge.
3 GİZLİ BİLGİNİN KORUNMASI 3.1 Bu gizli bilgiyi;
3.1.1 T.C. Sağlık Bakanlığı tarafından yayımlanmış yürürlükteki Bilgi Güvenliği Politikası Yönergesi ve Bilgi Güvenliği Politikaları Kılavuzunda belirtilen tedbirleri almak suretiyle korumayı,
3.1.2 Herhangi bir üçüncü kişiye hangi suretle olursa olsun vermemeyi, açıklamamayı, değiştirmemeyi, çoğaltmamayı ve/veya kamuya duyurmamayı,
3.1.3 İşin yürütülmesi haricinde doğrudan ya da dolaylı olarak hiçbir şekilde ve sebeple kullanmamayı, 3.1.4 Üçüncü kişiler tarafından doğrudan ya da dolaylı olarak ulaşılmaması için gerekli tüm tedbirleri almak suretiyle saklamayı,
3.1.5 Gizli bilgilerin tutulduğu ortamlar ile ilgili işlemlerin kayıtlarının olması açısından erişimleri ve yapılan işlemleri kaydetmeyi, bu iz kayıtlarının erişimine, değiştirilmesine ve silinmesine izin vermemeyi ve yukarıda sayılan surette sonuçlanacak sair davranışlardan kaçınmayı taahhüt ederiz.
3.2 Kendi gizli bilgilerimizi korumakta gösterdiğimiz özenin aynısını, Müdürlüğün gizli bilgisini korumakta da göstereceğimizi, sadece zorunlu hallerde ve işin gereği bu bilgiyi öğrenmesi gereken çalışanlarımıza işin yürütülmesi için gereken nispette ve bilginin korunması için her türlü azami önlemi alarak verebileceğimizi; Müdürlüğün gizli bilgilerine erişecek personelimize, İl Sağlık Müdürlüğü Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında yürürlükte
3.2 Kendi gizli bilgilerimizi korumakta gösterdiğimiz özenin aynısını, Müdürlüğün gizli bilgisini korumakta da göstereceğimizi, sadece zorunlu hallerde ve işin gereği bu bilgiyi öğrenmesi gereken çalışanlarımıza işin yürütülmesi için gereken nispette ve bilginin korunması için her türlü azami önlemi alarak verebileceğimizi; Müdürlüğün gizli bilgilerine erişecek personelimize, İl Sağlık Müdürlüğü Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında yürürlükte