Öncekiler Sonrakiler

SAĞLIK BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI YÖNERGESİ

Bu Yönerge ile Sağlık Bakanlığı'nın, görevleri kapsamında; bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek, içeriden ve/veya dışarıdan kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak ve yürütülen faaliyetlerin etkin, doğru, hızlı ve güvenli olarak gerçekleştirilmesinde bilgi güvenliği açısından uyulması gereken usul ve esasları belirlemektir.

05 Mart 2014 Çarşamba 20:19
SAĞLIK BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI YÖNERGESİ

T.C. SAĞLIK BAKANLIĞI BİLGİ GÜVENLİĞİ POLİTİKALARI YÖNERGESİ

BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1- (1) Bu Yönergenin amacı; Sağlık Bakanlığı'nın, görevlerikapsamında; bilginin toplanması, değerlendirilmesi, raporlanması vepaylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak;bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek,içeriden ve/veya dışarıdan kasıtlı veya kazayla oluşabilecek tüm tehditlerdenkorunmasını sağlamak ve yürütülen faaliyetlerin etkin, doğru, hızlı ve güvenliolarak gerçekleştirilmesinde bilgi güvenliği açısından uyulması gereken usul veesasları belirlemektir.

Kapsam

MADDE 2- (1) Bu Yönerge, Bakanlık ve bağlı kuruluşları, merkez vetaşra teşkilatındaki tüm personel ile kendilerine herhangi bir nedenle Bakanlıkbilişim kaynaklarını kullanma yetkisi verilen paydaş ve misafir kullanıcıları,bilgi sistemleri unsurlarını, insan kaynaklarını, bilgi sistemleri ile ilgilimal ve hizmet alımlarındaki güvenlik unsurlarını, hizmet sağlayıcıları, sistem,veri ve bilgi kullanıcılarını ve kurallarını kapsamaktadır.

Dayanak

MADDE 3- (l)Bu Yönerge, 02/11/2011 tarihli ve 28103 (mükerrer)sayılı Resmi Gazete'de yayımlanarak yürürlüğe giren 663 sayılı "SağlıkBakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun HükmündeKararname" nin 11 inci maddesinin birinci fıkrasının (ç) bendine,23/05/2007 tarihli ve 26530 sayılı Resmi Gazetede yayınlanan 5651 sayılıKanun'un 6'ncı maddesine dayanılarak hazırlanmıştır.

Tanımlar

MADDE4- (1) Bu Yönergenin uygulanmasında;

a) Bakan : Sağlık Bakanını,

b) Bakanlık : Sağlık Bakanlığını,

c) Bağlı Kuruluş : Türkiye Halk Sağlığı Kurumu, Türkiye İlaç ve TıbbîCihaz Kurumu, Türkiye Hudut ve Sahiller Sağlık Genel Müdürlüğü ve Türkiye KamuHastaneleri Kurumu'nu,

ç) Genel Müdürlük : Sağlık Bilgi Sistemleri Genel Müdürlüğü'nü,

d) KHK : 663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat veGörevleri Hakkında Kanun Hükmünde Kararnameyi,

e) Kılavuz : Bilgi Güvenliği Politikaları Kılavuzunu,

f) Komisyon : Bilgi Güvenliği Yönetim Komisyonu'nu

g) Kullanıcı : Bakanlık ve bağlı kuruluşları Bilgi Sistemlerinikullanan tüm

kişileri,

ğ)Bilgi : Kurum için değeri olan, uygun bir şekilde korunması gereken

tüm kaynakları,

h) Veri : Bilginin işlenmemiş halini,

ı) Bilgi güvenliği     : Bilgi ve bilginin işlemgördüğü bilgi sistemlerinin emniyetli ve  güvenilir olarakkullanılabilmesi, bütünlüğünün ve gizliliğinin muhafazası ve yetkisiz,

şahısların bilgiye ulaşmaları halinde tespit edilmelerine yöneliktedbirlerin tümünü,

i)Bilgi Güvenliği Yetkilisi   : İlgili kurumun üst düzeyyöneticisi tarafından Bilgi

Güvenliği Politikalarının uygulanması için yetki verilen kişiyi,

j)Bilgi Sistemleri : Donanım, yazılım, veri, bilgisayar ağları ve insan

unsurlarından oluşan, veri ve bilgileri toplayan, kaydeden, işleyen,dönüştüren ve yayan

sistemler bütününü,

k)Hizmet Sağlayıcıları      : Kurum adına bir işi yapmayıüstüne alan firmayı ya da

kişiyi,

l)Sosyal Mühendislik Testi : Kurum çalışanlarının kişisel hesaplarının güvenliğive bilgi güvenliği politikaları ile ilgili farkındalık seviyelerini ölçmek içinyapılan, senaryoları önceden paylaşılmış kontrolleri, ifade eder.

İKİNCİ BÖLÜM Temel İlkeler

MADDE 5- (l)Tüm yöneticiler, yönetim alanları ve yerinegetirmekle yükümlü oldukları tüm iş ve işlemlerin yürütülmesinde kullandıklarıbilgi sistemleri ile ilgili olarak; bilgi güvenliği duyarlılığı çerçevesindehareket etmekle, yönetim alanları ve işleri ile ilgili olarak bilgi güvenliğiiş planı hazırlamakla ve yürürlüğe koymakla yükümlüdürler.

(2) Herkullanıcı Kılavuzda yer alan kişisel veya çalışma alanı ile ilgili hususlarauymakla yükümlüdür.

(3) Kullanıcı,bilgi sistemleri ve ağlarının güvenliğinin gerekliliği ve güvenliği artırmakiçin neler yapabileceği konularında bilinçli olmalıdır.

(4) Tümyöneticiler kendi sorumluluk alanlarındaki bilgi sistemleri ve ağlarınıngüvenliğinden sorumludurlar.

(5) Kullanıcı,güvenlik tehditlerini önlemek, saptamak ve bunlara tepki verebilmek içinişbirliği içinde ve zamanında eyleme geçmekten sorumludur.

(6) Kullanıcılar,bilgi sistem ve ekipmanlarının kullanımında birbirlerinin haklarına saygıgöstermekle yükümlüdürler.

(7) Kullanıcı, idarece yapılmış olan risk değerlendirmelerindekendileriyle ya da çalışma alanlarıyla ilgili öngörülen tedbirlere uymakzorundadır.

(8) Güvenlik bilgi sistem ve ağlarının önemli bir unsuru olarakdeğerlendirilmelidir.

(9) Bilgisistem ve ağlarının güvenliği sürekli olarak izlenir ve değerlendirilir. Budeğerlendirme neticesinde, güvenliğin gerekli kıldığı değişiklikler zamanındayapılır.

ÜÇÜNCÜ BÖLÜM Bilgi Güvenliği Politikası

MADDE 6- (1) Bilgi güvenliği politikası, bilgi sistemleriunsurlarının iş gerekleri doğrultusunda, bilgi güvenliğini sağlamaya yönelikolarak temel ilkeleri ifade eden, oluşturulan politikalar ve stratejilerdoğrultusunda hazırlanacak olan teknik, idari, hukuki konulardan oluşan bilgigüvenliği kılavuzuna temel teşkil edecek ve bilgi güvenliği kapsamındaki yetkive sorumlulukların dağıtılmasında hukuki araç olarak kullanılacak bir dokümanolmak üzere Bakanlık ve bağlı kuruluşlar adına Genel Müdürlükçe hazırlanmaksuretiyle Kılavuzun içinde yer alır.

(2) BuYönergeye bağlı olarak hazırlanacak olan Kılavuz Bakanlık internet sitesindebulundurularak Bakanlık ve bağlı kuruluşlar ve bunların taşra teşkilatındakitüm personelin Kılavuzdan bilgi sahibi olması sağlanır. ' '

(3) BuYönergeye bağlı olarak Genel Müdürlükçe hazırlanacak ve yayınIanacak-,olan ~

Kılavuz, planlanan zaman aralıklarında veya teknik gereklilikler ortayaçıktığında, uygunluğu, elverişliliği ve etkinliğinin sürekliliğini belirlemekiçin gözden geçirilir.

(4)Gözdengeçirme neticesinde; Kılavuz ile ilgili olarak revizyon yapılması gerektiğinde,Genel Müdürlükçe oluşturulacak komisyon tarafından revize edilmiş Kılavuz,Sağlık Bilgi Sistemleri Genel Müdürü imzası ile yayınlanır.

Bilgi Güvenliği Yönetim Komisyonu

MADDE 7- (1)GenelMüdürlük tarafından, bilgi güvenliğinin iç organizasyonunun sağlanması içinbilgi güvenliği konusunda uzmanlaşmış, bilgi sistemlerinin kapsamı göz önünealınarak, teknik, idari ve hukuki süreçlerde çalışmalarda bulunmak üzere"Bilgi Güvenliği Yönetim Komisyonu" oluşturulur.

(2) Komisyonabağlı olarak çalışmak üzere bilgi güvenliğinin farklı alt alanlarında"çalışma grupları" teşkil edilir. Çalışma gruplarının oluşturulurkenteknik, hukuki ve idari disiplinlerden personel bulunmalıdır.

(3) Komisyonungörevleri;

a) Bilgigüvenliği politika ve stratejilerini belirler, gerektiğinde bu yönergeye bağlıolarak çalışma grupları tarafından hazırlanacak olan kılavuzlarla ilgilirevizyon kararlarını verir,

b) Bilgigüvenliği politikalarının uygulanmasının etkinliğini ölçer,

c) Bilgigüvenliği faaliyetlerinin yürütülmesinde rehberlik yapar,

ç) Bilgigüvenliği eğitimi ve farkındalığını sağlamak için plan ve programları hazırlar,

d) Yönergekapsamındaki bilgi güvenliği faaliyetlerini koordine eder.

Bilgi Güvenliği Yetkilisi

MADDE 8-(l) Bakanlık Merkez, bağlı kuruluşlar ve taşrateşkilatları kurumlan bünyesinde, bilgi güvenliği faaliyetlerini yürütmek vekoordine etmek üzere "Bilgi Güvenliği Yetkilisi" görevlendirilir.Bakanlık Merkez, bağlı kuruluşlar ve taşra teşkilatları üst yönetimleri hangiseviyede ve hangi alt kuruluşlarında "Bilgi Güvenliği Yetkilisi"görevlendireceklerine kurum bilgi sistemleri kapsamı, etki alanı, personelsayısı gibi kriterleri göz önüne alarak, ölçek yaklaşımı çerçevesinde kararverirler ve görevlendirecekleri Bilgi Güvenliği Yetkilisinin sorumlulukkapsamını belirlerler.

(2) BilgiGüvenliği Yetkilisinin ana işlevi; bulunduğu kurumdaki bilgi güvenliğifaaliyetlerini Genel Müdürlük ile koordineli bir şekilde yürütmektir. BilgiGüvenliği Yetkilisi olarak görevlendirilen personel Genel Müdürlük tarafındanana ilke ve politikalar konusunda eğitilir ve yönlendirilir.

(3) Bilgigüvenliği ihlal bildirimleri anında Bilgi Güvenliği Yetkilisine bildirilir.Bilgi Güvenliği Yetkilisi, Kurumu için Kılavuz çerçevesinde "BilgiGüvenliği Planı" yapar ve bu Plan görev yaptığı kurum idaresinceonaylanır.

Bilgi Güvenliği İhlal Yönetimi

MADDE 9- (1) Bilgi güvenliği olaylarının rapor edilmesi;

a) Bilgigüvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve- işleminsonlandırılmasını sağlayan idari uygulama planı oluşturulur. - -

b) Bilgigüvenliği ihlâlini bildirmek üzere bir rapor formatı hazırlanır. .

DÖRDÜNCÜ BÖLÜM Bilgi Güvenliği Organizasyonu

BEŞİNCİ BÖLÜM Bilgi Güvenliği İhlâl Yönetimi ve Denetim

c) Güvenlikihlal olayının oluşması durumunda, olay anında raporlanır.

ç) Güvenlikihlaline neden olanlar hakkında, hukuki süreç başlatılır.

(2)Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme taraflarıbilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudankendi yönetimlerine veya hizmet sağlayıcılarına mümkün olan en kısa sürederapor ederler.

Bilgi Güvenliği Denetimi

MADDE 10- (1) Genel Müdürlük kapsam maddesinde belirtilen tüm unsurlarlailgili Kılavuzda belirtilen hususlarda bilgi güvenliği denetimleri yapar.

(2) Bilgi güvenliği denetimlerini yapacak personelin nitelikleri GenelMüdürlükçe belirlenir.

(3) Senaryoları idarece önceden onaylanmak kaydıyla "bilişimgüvenliği ve sosyal mühendislik testleri" yapılabilir.

(4) Genel Müdürlük, bilgi güvenliği denetimlerinde yer almak üzereyeteri kadar personelin eğitimi ile ilgili çalışmaları yapar.

Bilgi Güvenliği Politikaları Kılavuzu

MADDE 11- (1) Kılavuz; Genel Müdürlük tarafından kapsam maddesinde tanımlanantüm unsurlarla ilgili olarak; bilgi güvenliğinin sağlanması ile ilgili;yönetsel, teknik, idari, hukuki süreçlerin tüm detaylarının yer alacağı birdoküman olarak hazırlanır.

(2) Kılavuzun ilk versiyonu Bakanın onayı ile yürürlüğe girer, dahasonraki versiyonlar Genel Müdürlük onayı ile yürürlüğe konulur.

(3) Kılavuz; periyodik olarak, teknolojik gelişmeler paralelinde gözdengeçirilerek revize edilir ve elektronik ortamda yayınlanacak bir rehber dokümanolarak hazırlanır.

(4) Kapsam maddesinde belirtilen tüm Bakanlık ve bağlı kuruluşlarıKılavuzda yer alan hususlara uymakla yükümlüdürler. Gerekli hallerde GenelMüdürlükçe teknik destek talepleri karşılanır. Genel Müdürlük, Bakanlıkinternet ana sayfası üzerinde bilgi güvenliği bağlantı adresi oluşturur. Bubağlantı adresi üzerinden açılan internet sayfasında bilgi güvenliğikonularında üretilen ulusal ve uluslararası kılavuz, rapor, bilgi notu, tez vb.dokümanlarına erişim sağlanır.

(5) Genel Müdürlük, Bilgi Güvenliği Terimleri Sözlüğü hazırlar veinternet üzerinden yayına sunar.

Kılavuzun Uygulanması

MADDE 12- (1) Kılavuzun uygulanması ile ilgili olarak; yöneticilerhazırlayacakları bilgi güvenliği planları içerisinde "Kılavuza UyumlaşmaTakvimi " hazırlar ve kılavuzun uygulanması ile ilgili gerekli idaritedbirleri alır.

MADDE 13- (1) Genel Müdürlük, bilgi güvenliği eğitim planlamasını tümBakanlık ve bağlı kuruluşları için yapmak suretiyle her seviyedeki personelinbilgi güvenliği farkındalık düzeylerini artırmak yönünde eğitim faaliyetlerindebulunur. Yıllık hizmet içi eğitim planlamalarında bilgi güvenliği başlığıplanlara dahil edilir. Teknik seviyedeki personelin bilgi düzeyinin artırılmasıyönünde ileri seviyede bilgi güvenliği eğitim planlamalarını yapma

(2) Ulusal düzeyde siber güvenlik ile ilgili kurum ve kuruluşlarlaortak eğitirrî,,semiherf ' konferans, sempozyum gibi faaliyetlergerçekleştirilmesine yönelik yıllık planlar yapar.

ALTINCI BÖLÜM Bilgi Güvenliği Politikaları Kılavuzu ve Uygulanması

YEDİNCİ BÖLÜM Bilgi Güvenliği Eğitimleri

(3) Bilgigüvenliği ile ilgili uzaktan eğitim modülünü devreye sokarak, teknik vefarkındalık eğitimlerini web tabanlı olarak sunar.

SEKİZİNCİ BÖLÜM Çeşitli ve Son Hükümler

Bilgi Güvenliği Standartları

MADDE 14- (1) Genel Müdürlük bilgi güvenliği çalışmalarınınstandartlaştırılması ve çalışmalara sistematik bir anlayış entegre edilmesiyaklaşımı ile ulusal ve uluslararası bilgi güvenliği standartlarınauyumlaşmanın ve sertifıkasyonun gerçekleştirilmesi yönünde çalışmalar yapar. Bukonuda ulusal ve uluslararası kuruluşlarla işbirliği gerçekleştirir.

Yürürlük

MADDE 15- (1) Bu Yönerge, Sağlık Bakanının onayı ile yürürlüğegirer. Yürütme

MADDE 16- (1) Bu Yönerge hükümlerini Sağlık Bakanı yürütür.

ÇOK OKUNANLAR

KAMU PERSONELİ SINAV İLANLARI

YAZARLAR

ANKET