Kurumsal BGYS Politikalarının Oluşturulması ve Uygulanması

Bakanlığımız bilgi güvenliği hedefleri doğrultusunda, kendi sorumluluk alanların- da bulunan ve bilgi işleme faaliyetlerinde kullanılan tüm unsurlar için (sistemler, süreçler, tesisler, insanlar vb.) kuralları tanımlanmış, planlı, etkileşimli ve sürekli iyileştirmeye dayanan bir BGYS kurmakla, aşağıda belirtilen esaslar çerçevesinde kendi kurumsal bilgi güvenliği politikalarını oluşturmakla ve tesis edilen BGYS’yi etkin bir şekilde işletmekle yükümlüdür.

19

Bilgi Güvenliği Politikaları Kılavuzu

1.3.2. Tesis edilen BGYS’nin herhangi bir ulusal veya uluslararası standardı sıkı sıkıya esas alması ve bu standart doğrultusunda belgelendirilmesi (sertifikalandırıl- ması) zorunluluğu bulunmamaktadır.

1.3.3. Kılavuzda yer alan hususlar, ilgili kurumlar tarafından hayata geçirilecek BGYS’lerde kullanılabilecek temel bazı tedbirleri ve günümüz teknolojileri çerçe- vesinde var olan en iyi uygulama örneklerini içermektedir. Bilgi güvenliğinin tam olarak sağlanabilmesi için uygulayıcılar tarafından;

• Kendi kurumlarında kullanılan sistemler ve cihazlar, çalışan personelin eği- tim durumu, bilgi işleme tesislerinin fiziki özellikleri, bölgesel ve coğrafi farklılıklar gibi hususlardan kaynaklanan kuruma özgü bilgi güvenliği riskle- rinin ayrıntılı olarak tespit edilmesi,

• Tespit edilen risklerin önlenmesi için Kılavuzda yer alan tedbirler başta ol- mak üzere gerekiyorsa ilave önlemlerin belirlenmesi,

• Alınacak önlemlerin yazılı hale getirilerek tüm kurum personeline duyurul- ması,

• Uygulamanın sürekli olarak takip edilerek varsa uygunsuzlukların ve yeni risklerin tespit edilmesi,

• Tespit edilen uygunsuzluklar ve yeni riskler için düzeltici faaliyetlerin hayata geçirilmesi,

• Sürekli iyileştirme için ihtiyaç duyulan çalışmaların yürütülmesi gerekmekte- dir.

1.3.4. Bilgi güvenliği politikası BGYS’nin en kritik öğesidir. Bir güvenlik politika- sı, verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için bilgi kaynaklarına erişen herkesin uyması gereken asgari kuralları tanımlar.

Ayrıca, kurumun bilgi güvenliği bakış açısını yansıtır, güvenlik sorumluluklarını tanımlar ve bilgi güvenliği olaylarına müdahale yaklaşımını ortaya koyar. Kurum- sal bilgi güvenliği politikasının geliştirilmesi kurumsal hafızaya sahip çalışanlar, bilgi güvenliği uzmanları ve yönetimin ortak çalışması ile yapılır. Bilgi güvenli- ği politikasının bilgi güvenliği hedefleri, stratejik hedefler ve hizmet kapsamı ile uyumlu olması gerekir.

1.3.5. Bakanlığımıza bağlı kurum ve kuruluşlarda tesis edilen BGYS’ler için herhangi bir belgelendirme (sertifikasyon) zorunluluğu bulunmamaktadır. Ancak bir kurum veya kuruluş herhangi bir nedenle ISO 27001 veya benzeri bir standart kullanarak belgelendirme süreçlerine dâhil olmak istiyorsa, başta BGYS Politikası olmak üzere dokümantasyon işlemleri için ilgili standardın gereksinimlerine uygun olarak hareket eder.

20

1.3.6. İSM seviyesinde ilin tamamı için kullanılacak şekilde tek bir BGYS politikası hazırlanması ve İl Sağlık Müdürü tarafından imzalanarak yürürlüğe ko- nulması yeterlidir. Hazırlanacak BGYS politikasının kısa, öz ve en az aşağıda sıra- lanan başlıkları içermesi gerekir.

• Amaç

• Kapsam

• Dayanak

• Tanım ve Kısaltmalar

• Bilgi Güvenliği Organizasyonu

• Politika Metni

• Ekler

1.3.7. BGYS Politikasında yer almayan ve detaylandırılmaya ihtiyaç duyulan di- ğer hususlar için destek dokümanları hazırlanır. Destek dokümanları ihtiyaca göre politika, prosedür, talimat, yönerge, liste, form vb. detaylarda oluşturulabilir. Her- hangi bir konuya ilişkin İSM’nin geneli için ortak olarak kullanılacak tek bir destek dokümanı hazırlanabileceği gibi ilgili konunun hastanelerde uygulanmasında farklılıklar var ise kurumlara özgü ayrı destek dokümanlarının hazırlanması uygun olacaktır. Örneğin yedekleme ile ilgili hususlar merkezi olarak tek elden yapılıyor ise İSM tarafından bu konuyu açıklayan tek bir doküman hazırlanır ve il genelinde bu doküman kullanılabilir. Bununla birlikte yedekleme işlemi her hastanede farklı araç ve yöntemlerle yapılıyor ise her kurumun kendi yedekleme işlemini açıklayan bir prosedür veya talimat hazırlanması gerekir. Destek dokümanları hazırlanırken aşağıdaki hususları içerip içermediği kontrol edilmelidir:

• Erişim kontrolü / mobil cihazlar ve uzaktan çalışma (Kılavuz Madde 6),

• Bilgi sınıflandırma (ve işleme) (Kılavuz Madde 4.3),

• Fiziksel ve çevresel güvenlik (Kılavuz Madde 8),

• Varlıkların kabul edilebilir kullanımı / temiz masa ve temiz ekran (Kılavuz Madde 4),

• Bilgi transferi, haberleşme güvenliği (Kılavuz Madde 10),

• Yazılım kurulumu ve kullanımı ile ilgili kısıtlamalar (Kılavuz Madde 9),

• Yedekleme (Kılavuz Madde 9.13),

• Kötücül yazılımlardan koruma (Kılavuz Madde 9.6),

• Kriptografik kontrollerin kullanımı (Kılavuz Madde 7)

21

Bilgi Güvenliği Politikaları Kılavuzu

• Teknik açıklıkların yönetimi (Kılavuz Madde 9.14),

• Kişi tespit bilgisinin mahremiyeti ve korunması (Kılavuz Madde 12),

• Tedarikçi ilişkileri (Kılavuz Madde 11).

1.3.8. Bazı İSM’lerde bilgi güvenliğini doğrudan ilgilendiren birçok faaliyetin (tek etki alanı, ortak veri merkezi, merkezi HBYS kullanımı, merkezi virüs koruma, tek noktadan satın alma vb.) merkezi olarak yönetilmesi durumunda, bu konuları içerecek şekilde daha kapsamlı BGYS Politikalarının hazırlanmasında bir mahsur bulunmamaktadır.

1.3.9. İSM’ler tarafından örnek olarak kullanılabilecek bir BGYS politikası ve di- ğer destek dokümanlarına ait örnekler, Bakanlık bilgi güvenliği web sayfasında yayımlanır (https://bilgiguvenligi.saglik.gov.tr/Home/Dokumantasyon ).

1.3.10. Hazırlanan BGYS Politikasının kurumun tüm çalışanları tarafından bilin- mesi ve anlaşılması gerekir. Bu maksatla BGYS politikası tüm personele tebliğ edi- lir, farkındalık eğitimlerinde politika içinde yer alan konular hakkında kullanıcılara daha ayrıntılı bilgi verilir.

1.3.11. BGYS politikası (ve ilişkili diğer destek dokümanları) tüm çalışanlar ta- rafından gerektiğinde ulaşılabilecek şekilde, kurumun iç ağında kontrollü olarak yayımlanır.

1.3.12. Yukarıdaki hususlara ilave olarak Kurum BGYS vizyonunu açıklayan ve bu konuyla ilgili üst yönetim desteğini ve bağlılığını ifade eden “Kurum Üst Yönetimi Bilgi Güvenliği Taahhütnamesi” başlıklı bir doküman, kurumun en üst düzey yöneticisi tarafından imzalanır ve kurum web sayfasının herkese açık bölü- münde yayımlanmak suretiyle ilgili tüm iç ve dış taraflar ile paylaşılır.

1.3.13. İSM’lere bağlı hastaneler ve diğer sağlık tesisleri tarafından ayrıca BGYS Politikası hazırlanması ve yayımlanmasına gerek yoktur. Hastaneler ve diğer bağ- lı kuruluşlar İSM tarafından yayımlanan BGYS Politikasına uymakla mükellef- tir. Bununla birlikte İSM tarafından yayımlanan BGYS politikasında yer almayan veya ilave açıklama gereken hususlar; Hastane kalite süreçleri kapsamında hazır- lanan “bilgi yönetim sistemi politikaları” içerisinde veya ayrı destek dökümanları olarak açıklanır.

23

Bilgi Güvenliği Politikaları Kılavuzu