BGYS Politikaları
P00 BİLGİ GÜVENLİĞİ POLİTİKAMIZ
AMAÇ VE KAPSAM
Bu politikanın amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetiminin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.
Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,
Kuruluşun hedefleri üzerinde etkisi bulunan kilit sürücüler ve eğilimler ve
Dış paydaşlarla ilişkiler ve onların algılamaları ve değerleri.
SORUMLULUK:
Bilgi Güvenliği Politikasının hazırlanması, gözden geçirilmesi ve güncellenmesinden BGYS Yönetim Temsilcisi ve BGYS Ekibi sorumludur. Medivia Hastane/Tıp Merkezi yönetimi Bilgi Güvenliği Politikasını onaylar ve duyurulmasını sağlar.
BİLGİ VARLIĞI:
Medivia Hospital Hastane’nin sahip olduğu, işlerini aksatmadan yürütebilmesi için gerekli olan varlıklardır.
Bu politikaya konu olan bilgi varlıkları şunlardır:
Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri
Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım
Bilginin transfer edilmesini sağlayan ağlar
Bölümler, birimler, ekipler ve çalışanlar
Tesisler ve Özel alanlar
Çözüm ortakları
Üçüncü taraflardan sağlanan servis, hizmet veya ürün
POLİTİKA:
Bilgi kaynakları, tesisler ve cihazlar gibi Medivia Hospital Hastane/Tıp Merkezi açısından büyük önem taşıyan varlıklardır. Bilgi varlıklarını ve kaynaklarını kullanan veya bilgi sağlayan herhangi bir kişi, bilgi varlıklarını korumakla yükümlüdür.
Ortak bilgi varlıklarını kullanan tüm çalışanların, gereken duyarlılığı göstermesi ve diğer meslektaşlarını, kurum çalışanlarını ve kurumsal değerleri gözeterek hareket etmesi beklenir.
Kurumsal değerlerin gereği olarak gizliliğe önem verilir, her türlü kişisel bilgi en yüksek güvenlik standartlarına sahip sistemlerle korunur. Bilginin sahibi istemedikçe, yetki verilmedikçe veya yasal gereklilikler oluşmadıkça bilgi paylaşılmaz.
Medivia Hastane/Tıp Merkezi için tüm bu bilgi varlıkları ve kaynakları içerisinde en kritik olanı, özenle korunması, gizliliğinin sağlanması, ihtiyaç duyulduğu anda erişilmesi gereken; bilgi varlıkları, BT sistemleri, BT Ekipmanları ve bu ekipmanları barındıran sistem odası veya veri merkezleridir.
Bilgi varlıkları ve kaynakları farklı konumlarda veya ortamlarda bulunabilir. Hangi konumda veya ortamda olursa olsun müşteri iletişim gereksinimleri ve kurumsal değerler bu varlıkların ve kaynakların kullanımını belirler.
Bilgi güvenliği, sadece bilginin gizliliğinin değil, bütünlüğünün ve erişilebilirliğinin de sağlanması ile mümkündür. Bilginin gizlilik gerekliliği; sadece yetkilendirme dahilinde gereken bilgi varlıklarına erişim verilmesi anlamına gelir. Bilginin bütünlüğü; tüm bilgi varlıklarının tamlığını ve doğruluğunu sağlamayı gerektirir. Bilginin erişilebilirliği; bilgi varlıklarının ihtiyaç duyulduğu anda ulaşılabilir ve kullanılabilir olması anlamına gelir.
Bilginin kullanımı, yerleşimi ve korunması ile ilgili ihtiyaçların karmaşıklığı ve çokluğu, kapsamlı ve geniş bilgi güvenliği süreçlerinin ve politikalarının tanımlanmasını zorunlu kılmaktadır. Bu nedenle belirlenen süreçler doğrultusunda bilgi güvenliği riskleri, bilgi varlığından sorumlu olan kişiler tarafından değerlendirilir, risklerin önceliği belirlenir ve gereken önlemler alınır.
Sistem odası ve veri merkezleri güvenliğinin sağlanması öncelikli olarak ele alınır. Varlık envanterinin ve bu envanterin olası risklerinin önceden belirlenerek iç ve dış müşterilerin güven içinde ve kesintisiz hizmet almaları için çalışılır.
Karar ve eylemlerde, güvenilir nesnel bilgiler ile teknolojinin tüm olanaklarının kullanılmasına önem ve öncelik verilir. Hareketler sezgilere, duygulara ya da doğru görünene göre değil; bilimsel ve teknolojik gerçeklerin ortaya koyduğu objektif esaslara göre düzenlenir. Bunu sağlamak için bilgi dünyadaki en ileri kaynaklardan transfer edilir, benimsenir ve mesleki uygulamalar bu doğrultuda yapılır. Kaynaklar verimli kullanılarak teknolojiye yatırım yapılır, gelişim bu doğrultuda sürdürülür.
Bu nedenle bilgi güvenliği yönetim sisteminin planlama, uygulama, izleme ve iyileştirme adımlarının TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına ve bu standardı destekleyen standartlara uygun olarak yürütülmesi önerilir.
POLİTİKA LİSTESİ
P01 BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI
P02 İNTERNET ERİŞİM POLİTİKASI
P03 E-POSTA POLİTİKASI
P04 ANTİ-VİRÜS POLİTİKASI
P05 ŞİFRE POLİTİKASI
P06 FİZİKSEL GÜVENLİK POLİTİKASI
P07 SUNUCU GÜVENLİK POLİTİKASI
P08 AĞ YÖNETİMİ POLİTİKASI
P09 VERİTABANI GÜVENLİK POLİTİKASI
P10 DEĞİŞİM YÖNETİMİ POLİTİKASI
P11 SANAL ÖZEL AĞ (VPN) POLİTİKASI
P12 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI
P13 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
P14 TEMİZ MASA TEMİZ EKRAN POLİTİKASI
P15 KRİPTOGRAFİK KONTROLLER POLİTİKASI
P16 ZİYARETÇİ KABUL POLİTİKASI
P17 MOBİL CİHAZ POLİTİKASI
P18 ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
P19 OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI
P20 GÜVENLİ YAZILIM GELİŞTİRME POLİTİKASI
P21 BİLGİ TEKNOLOJİLERİ İLETİŞİM ve ÖZEL İLGİ GRUPLARI POLİTİKASI
P01 BİLGİ SİSTEMLERİ GENEL KULLANIM POLİTİKASI
1. Genel Bakış
Kurumun amacı herhangi kimse üzerinde kısıtlayıcı politikalar üretmek değil aksine açıklık, güven ve bütünlüğe yönelik kültürü yerleştirmektir. Kurum bilerek veya bilmeyerek yapılan yasadışı veya zararlı eylemlerine karşı çalışanların ve kurumun haklarını korumaya adamıştır. Bilişim ile ilgili sistemler kurumun sahip olduğu değerlerdir. Güçlü bir güvenlik bütün çalışanların içerisine dahil olduğu takım çalışmasıyla oluşturulabilir. Bütün bilgisayar kullanıcıları günlük aktivitelerini yerine getirebilmesi için bu kuralları iyi bilmeli ve uygulamanın sorumluluğunu taşımalıdır.
2. Amaç
Bu politikanın amacı kurum bünyesindeki bilişim cihazlarının uygun kullanımı hakkında taslak oluşturmaktır. Uygunsuz kullanım kurumu virüs saldırılarına, ağ sistemlerinin çalışmamasına, hizmetlerin aksamasına sebep olabilir ve bunlar yaptırımlara dönüşebilir.
3. Kapsam
Bu politika kurumun bütün çalışanları, sözleşmelileri ve kurum adı altında çalışan bütün kişiler için geçerlidir. Aynı zamanda kurumun sahip olduğu ve kiraladığı bütün cihazlar için geçerlidir.
4. Politika
Genel Kullanım ve Sahip Olma
a) Kullanıcılar şunun farkında olmalıdırlar; kurumun güvenlik sistemleri kişilere makul seviyede mahremiyet sağlasa da kurumun bünyesinde oluşturulan tüm veriler kurumun mülkiyetindedir.
b) Bilgisayarlara hiçbir surette lisanssız program yüklenmemelidir.
c) Kullanıcı herhangi bir bilginin çok kritik olduğunu düşünüyorsa o bilgi şifrelenmeli veya yetkili kişiler dışında erişilemeyecek alanlarda saklanmalıdır.
d) Birimlerde sorumlu bilgi işlem personeli ve ilgili teknik personel dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vb. üzerinde mevcut yapılan düzenlemeler hiçbir surette değiştirilmemelidir.
e) Bilgisayarlar üzerinden işin gerektirdiği dosyalar dışında dosya alışverişinde bulunulmamalıdır.
f) Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı, kopyalanmamalıdır.
g) Kritik bilgisayar raporlarının, bilginin hassasiyet seviyesine göre bir gizlilik sınıfı değeri (Çok Gizli, Gizli, Şirkete Açık, Halka Açık) olacaktır. Sınıflandırmayı bilgi sahibi kendisi yapacaktır.
Kritik raporların dökümünü alan kullanıcı, rapor içeriğindeki bilginin uygun bir şekilde korunmasından sorumludur.
Herhangi bir kişi kendine ait olmayan kritik bir rapor bulur ise bu durumu Medivia/Kurum/Tıp Merkezi/ Hastane Bilgi Güvenliği Ekibine bildirecektir.
“Gizli” kâğıt belgeleri kilitli dolap ve kasalarda muhafaza edilecektir.
Güvenlik Ve Kişiye Ait Bilgiler
a) Bilgi sistemlerinde bulunan kritik bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmalıdır.
b) Şifrelerinizi güvenli bir şekilde tutun ve hesabınızı başka kimselerle paylaşmayın. Şifreler 90 günde bir değiştirilmelidir.
c) Bütün PC ve Laptoplar otomatik olarak 5 dakika içerisinde şifreli ekran korumasına geçebilmelidir.
d) Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır.
e) Laptop bilgisayarın çalınması / kaybolması durumunda, durum fark edildiğinde en kısa zamanda yetkili kişiye haber verilmelidir.
f) Kurum maili tanımlı akıllı telefonlarda şifre kullanım zorunluluğu vardır.
5. Uygunsuz Kullanım
Genel olarak aşağıdaki eylemler yasaklanmıştır. Herhangi bir kullanıcı kurumun kaynaklarını kullanarak hiçbir şart altında herhangi bir yasadışı işlemde bulunamaz.
Sistem Ve Ağ Aktiviteleri
Aşağıdaki aktiviteler hiçbir istisna olmadan kesinlikle yasaklanmıştır.
Herhangi bir kişi veya kurumun izinsiz kopyalama, ticari sır, patent veya diğer şirket bilgileri, yazılım lisansları vs. haklarını çiğnemek.
Kitapların izinsiz kopyalanması, magazinlerdeki fotoğrafların dijital formata dönüştürülmesi, lisans gerektiren yazılımların kopyalanması.
Zararlı programların ağa veya sunuculara bulaştırılması.
Kendi hesabınızın şifresini başkalarına vermek veya kendi hesabınızı kullandırmak. Bu evden çalışırken aile bireylerini de kapsar.
Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışmak.
Ağ güvenliğini etkilemek, ağ haberleşmesini bozmak.
Program/script/komut kullanarak kullanıcının bağlantısını etkilemek.
Kurum bilgilerini kurum dışından üçüncü şahıslara iletmek.
Kullanıcıların kişisel bilgisayarları üzerine bilgi işlem bölümünün onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapması.
Cihaz, yazılım ve verinin izinsiz olarak kurum dışına çıkarılması.
Kurumun politikaları olarak belirlediği programlar dışında kaynağı belirsiz olan programları kurmak ve kullanmak yasaktır.
E-mail Ve Haberleşme Aktiviteleri
Kurum dışından web posta sistemini güvenliğinden emin olunmayan bir bilgisayardan kullanmak
İstenilmeyen e-posta mesajlarının iletilmesi. Bunlar karşı tarafın özellikle istemediği reklam mesajlarını içeren epostalar olabilir.
E-posta veya telefon vasıtası ile taciz etmek.
Kurum eposta hesaplarını kişisel olarak kullanmak.
P02 İNTERNET ERİŞİM POLİTİKASI
Amaç
Medivia/Kurum/Tıp Merkezi/ Hastane’nin güvenli internet erişimi için sahip olması gereken standartları belirlemektir. İnternetin uygun olmayan kullanımı, kurumun yasal yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenmeyen sonuçlara neden olabilir. Bilerek ya da bilmeyerek bu türden olumsuzluklara neden olunmaması ve internetin kurallarına, etiğe ve yasalara uygun kullanımının sağlanmasını amaçlamaktadır.
Kapsam
Bu politika Medivia /Kurum/Tıp Merkezi/ Hastane’nin bütün kullanıcılarını kapsamaktadır.
Politika
Kurumun bilgisayarları içerik denetimi yapan bir uygulama üzerinden internete çıkacaktır. Kurum kültürüne ve yasalara uygun olmadan siteler yasaklanabilir.
İş gerekliliği açısından yetkilendirilmiş kullanıcılar ilgili kurum yöneticisinden onay alarak internete çıkarken özel servisleri (ftp ,telnet, vb) kullanabilirler.
Bilgisayarlar üzerinden yasalara aykırı internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır.
Üçüncü şahısların kurum internetini kullanmaları bilgi işlem sorumlularının izni ve bu konudaki kurallar dahilinde gerçekleştirilebilecektir.
5651 yasası gereği kurum içerisinde internet erişim logları en az 6 ay arşivlenmektedir.
Misafirler için özel misafir ağı, kurum ağından bağımsız özel kablosuz internet hattı oluşturulmuştur.
P03 E-POSTA POLİTİKASI
Amaç
Bu politikanın amacı Medivia/Kurum/Tıp Merkezi/ Hastane’nın e-posta altyapısına yönelik kuralları ortaya koymaktır. Kurumda oluşturulan e-postalar resmi bir kimlik taşımaktadırlar. E-posta Medivia/Kurum/Tıp Merkezi/ Hastane’nin en önemli iletişim kanallarından biridir ve bu kanalın kullanılması kaçınılmazdır. Bunun yanı sıra e-posta basitliği ve hızı nedeni ile yanlış kullanıma veya gereğinden fazla kullanıma açık bir kanaldır.
Kapsam
Bu politika kurumda oluşturulan e-postaların doğru kullanımını içermektedir ve bütün çalışanları kapsamaktadır.
Politika
3.1 Yasaklanmış Kullanım
a) Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
b) Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmesi gerekmektedir.
c) Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
d) Kişisel kullanım için internetteki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır.
e) Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
g) Kullanıcıların kullanıcı kodu / şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
h) Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.
3.2 Kişisel Kullanım
a) Medivia /Kurum/Tıp Merkezi/ Hastane’de kişisel amaçlar için e-posta kullanımı mümkün olduğunca makul seviyede olmalıdır.
b) Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için donanım /yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.
c) Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-maillerin sahte e-mail olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
d) Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajla, Medivia /Kurum/Tıp Merkezi/ Hastane adıyla gönderilmelidir.
e) Kurum çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesi ve okunmasını engellemekten sorumludurlar.
g) Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir.
h) Elektronik postaların sık sık gözden geçirilmesi, gelen mesajların uzun süreli olarak genel elektronik posta sunucusunda bırakılmaması ve bilgisayardaki kişisel klasöre çekilmesi gereklidir.
J) E-posta adresine sahip kullanıcının herhangi bir sebepten (emekli olma, işten ayrılma gibi nedenlerle) kurumdaki değişikliğinin yetkililer tarafından BT birimine bildirilmesi gereklidir.
3.3 Gözlemleme
Medivia/Kurum/Tıp Merkezi/ Hastane çalışanları gönderdikleri, aldıkları veya sakladıkları epostaların kişisel olmadığını bilmelidir. Bu yüzden yetkili kişiler önceden haber vermeksizin eposta mesajlarını denetleyebilirler.
3.4 E-Posta Yönetimi
Medivia /Kurum/Tıp Merkezi/ Hastane e-postaların kurum bünyesinde güvenli ve başarılı bir şekilde iletilmesi için gerekli yönetim ve altyapıyı sağlamakla sorumludur.
3.5 E- Posta Virüs Koruma
Virüs, solucan , Truva atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslerle bulaşmış e-postalar anti-virüs sistemleri tarafından analiz edilip temizlenmelidir. BT bu sistemden sorumludur.
P04 ANTİ-VİRÜS POLİTİKASI
Amaç
Medivia /Kurum/Tıp Merkezi/ Hastane’daki bütün bilgisayarların efektif virüs algılama ve engelleme standardına sahip olması için gereklilikleri belirlemektir.
Kapsam
Bu politika Medivia /Kurum/Tıp Merkezi/ Hastane’daki bütün bilgisayarları ve sunucuları kapsamaktadır.
Politika
3.1 Kurumun bütün bilgisayarları ve sunucuları anti-virüs yazılımına sahip olmalıdır ve yazılım güncel tutulmalıdır. Virüs bulaşan makineler tam olarak temizleninceye kadar ağdan çıkarılmalıdır. Zararlı programları (solucan,truva atı vs) kurum bünyesinde oluşturmak ve dağıtmak yasaktır. Hiçbir kullanıcı herhangi bir sebepten dolayı anti-virüs programını sistemden kaldıramaz.
3.2 Virüs problemlerine karşı tavsiye edilen adımlar:
Anti-virüs güncellemeleri; her bilgisayarda otomatik güncelleme şeklinde gerçekleşmektedir.
Bilinmeyen kişilerden e-posta ile birlikte gelen dosya ve makrolar silinmelidir. Silinen bu epostalar ayrıca geri dönüşüm kutusundan da silinmelidir.
Spam epostalar silinmelidir.
Bilinmeyen ve şüpheli kaynaklardan asla dosya indirilmemelidir.
Bilgisayarlarda kullanılan CD, USB gibi depolama aygıtları virüs tarama yapılmadan kullanılmamalıdır.
P05 ŞİFRE POLİTİKASI
Genel Bakış
Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir. Medivia/Kurum/Tıp Merkezi/ Hastane çalışanları ve uzak noktalardan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.
Amaç
Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkında standart oluşturmaktır.
Kapsam
Bu politika kullanıcı hesabı olan (Bilgisayar ağına erişen ve şifre gerektiren kişiler) bütün kullanıcıları kapsamaktadır.
Politika
4.1 Genel
a) Kurum içerisinde kullanılan bütün bilgisayarlar ve sunucuların şifreleri 90 günde bir değiştirilmelidir.
b) Kullanıcı ilk aldığı şifreyi değiştirmesi için zorlanmalıdır.
c) Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır.
ç) Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
d) Kullanıcı, şifresini başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda eğitilmelidir.
e) Kurum çalışanları veya harici kişiler için açılan kullanıcı hesaplarının şifreleri Medivia/Kurum/Tıp Merkezi/ Hastane güvenlik politikalarına uygun olmalıdır.
f) Bir kullanıcı hesabı birden çok kişi tarafından kullanılmamalıdır.
P06 FİZİKSEL GÜVENLİK POLİTİKASI
Amaç
Bu politika kurum personeli ve kritik kurumsal bilgilerin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasını önlemek amacını taşımaktadır.
Kapsam
Kurum binalarında yer alan bilgi varlıklarına erişim sağlayan tüm fiziksel güvenlik konularını kapsamaktadır.
Politika
a) Kurumun fiziksel olarak korunması, farklı koruma mekanizmaları ile donatılması temin edilmelidir.
b) Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binada ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir.
c) Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili görevliler gözetiminde gerçekleştirilmelidir.
d) Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliği sağlanmalıdır.
e) Kritik sistemler özel sistem odalarında tutulmalıdır.
f) Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karşı koruma altına alınmalıdır.
g) Dolaplar ve çekmeceler kilitli ve kontrol altında tutulmalıdır.
h) Kuruma giriş yapacak ziyaretçi veya kurye teslimatları yetkili görevliler gözetiminde gerçekleştirilmelidir.
P07 SUNUCU GÜVENLİK POLİTİKASI
1. Amaç
Bu politikanın amacı kurumun sahip olduğu sunucularının temel güvenlik yapılandırmaları için standartları belirlemektir. Bu politikanın etkili kullanılması ile Medivia /Kurum/Tıp Merkezi/ Hastane bünyesindeki bilgilere ve teknolojiye yetkisiz erişimler en aza indirilecektir.
2. Kapsam
Bu politika kurumun sahip olduğu bütün sunucular için geçerlidir.
3. Politika
3.1 Sahip Olma ve Sorumluluklar
Kurum bünyesindeki bütün dahili sunucuların yönetiminden sadece yetkilendirilmiş sistem yöneticileri sorumludur. Sunucu kurulum ve yapılandırmaları yalnızca bu gruptaki kişiler tarafından yapılacaktır.
Bütün sunucular (kurumun sahip olduğu) ilgili kurumun yönetim sistemine kayıtlı olmalıdır.
En az aşağıdaki bilgileri içermelidir.
Sunucu Adı
Sunucu Görevi
Sunucuların yeri
Donanım
Marka, model ve seri numarası
İşletim Sistemi
Yüklü uygulama yazılımı
Bütün bilgiler tek bir merkezde güncel olarak tutulmalıdır.
Genel Yapılandırma Kuralları
Kullanılmayan servisler ve uygulamalar kapatılmalıdır.
Sunuculara işletim sistemi yönünden güçlendirme (hardening) uygulanmalıdır.
Şirket dışı yapılan bağlantılar Medivia /Kurum/Tıp Merkezi/ Hastane’nin belirlediği kurallara göre yapılmalıdır.
Sunucular fiziksel olarak korunmuş sistem odalarında bulunmalıdırlar.
3.2 İşletim
Sunucular elektrik ve ağ altyapısı ile sıcaklık ve nem değerleri düzenlenmiş ortamlarda işletilmelidir.
Sistem odalarına yetkisiz girişler engellenmelidir. Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalı ve kayıt altına alınmalıdır.
P08 AĞ YÖNETİMİ POLİTİKASI
Amaç
Kurumun bilgisayar ağında yer alan bilgilerin ve ağ alt yapısının güvenliği , gizlilik , bütünlük ve erişilebilirlik kavramları göz önüne alınarak sağlanmalıdır. Uzaktan erişim hususunda özel önem gösterilmelidir. Yetkisiz erişimle ilgili tedbirler alınmalıdır. Ağın güvenliği ve sürekliliğini sağlamak amacıyla birtakım kontroller gerçekleştirilmelidir. Ağ Yönetimi politikası bu gereksinimleri karşılayan kuralları belirlemek amacıyla geliştirilmiştir.
Kapsam
Medivia/Kurum/Tıp Merkezi/ Hastane bilgisayar ağının sistem ve ağ yöneticileri, teknik sorumluları faaliyetlerini Ağ Yönetimi Politikasına uygun şekilde yürütmekle yükümlüdür.
Politika
Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için özel kontroller uygulanmalıdır.
Ağ servisleriyle ilgili standartlarda, erişimine izin verilen ağlar ve ağ servisleri ve ilgili yetkilendirme yöntemleri belirtilmelidir.
Ağ üzerinde kullanıcının erişeceği servisler kısıtlanmalıdır.
Sınırsız ağ dolaşımı engellenmelidir.
İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmalıdır.
Ağ erişimi gerek duyulduğunda VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmalıdır.
Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmalıdır.
Ağ üzerindeki yönlendirme kontrol edilmelidir.
Bilgisayar ağına bağlı bütün bilgisayarlarda kurulum ve yapılandırma özellikleri, kurumun güvenlik politika ve standartlarıyla uyumlu olmalıdır.
Sistem tasarım ve geliştirmesi yapılırken kurum tarafından onaylanmış olan ağ ara yüzü ve protokolleri kullanmalıdır.
Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3.şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmalıdır.
P09 VERİTABANI GÜVENLİK POLİTİKASI
Amaç
Kurumun veri tabanı sistemlerinin, kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar.
Kapsam
Tüm veri tabanı sistemleri, bu politikaların kapsamı altında yer alır.
Politika
Kritik verilere erişim işlemleri loglanır. Log kayıtlarına, yetkilinin izni olmadan kesinlikle hiçbir şekilde erişim yapılamaz.
Veri tabanı sistemlerinde tutulan bilgiler sınıflandırılır ve uygun yedekleme politikaları oluşturulur. Yedeklemeden sorumlu sistem yöneticileri belirlenir ve yedeklerin düzenli alınması sağlanır.
Yedekleme talimatına uyulur.
Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış sistem odalarında tutulur.
Veri tabanı sistemlerinde yapılacak bakım onarım, yama ve güncelleme çalışmalarından önce, ilgili yetkililer bilgilendirilir.
Bilgi saklama medyaları, Bilgi Güvenliği Ekip Lideri’nin yazılı onayı olmadan, kurum dışına çıkarılamaz.
Veri tabanı sunucusuna, sadece admin hakkına sahip olanlar doğrudan bağlanır. (Erişim ve Kullanım Matrisi)
Bağlanacak kişilerin kendi adına kullanıcı adı verilir ve yetkilendirme yapılır.
P10 DEĞİŞİM YÖNETİMİ POLİTİKASI
Amaç
Kurumun bilgi sistemlerinde yapılması gereken değişikliklerin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirler.
Kapsam
Tüm bilgi sistemleri ve bu sistemlerinden işletilmesinden sorumlu personel bu politikanın kapsamında yer almaktadır.
Politika
Bilgi sistemlerinde değişiklik yetkilendirilmiş kişiler tarafından yapılır.
Herhangi bir sistemde değişiklik yapmadan önce, bu değişiklikten etkilenecek tüm sistem ve uygulamalar belirlenmeli ve ilgili kişilere bilgi verilmelidir.
Değişiklikler gerçekleştirilmeden önce kurumun ilgili biriminden onay alınmalıdır.
Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma hazırlanmalı ve ilgili yöneticiler tarafından onaylanması sağlanmalıdır.
Değişiklik öncesi test süreci tanımlanmalıdır.
Değişikliğin varlık kritikliğine göre yapılacağı zaman ve yöntemler tanımlanmalıdır.
P11 UZAK BAĞLANTI POLİTİKASI
Amaç
Bu politikanın amacı VPN protokolünün kullanımı hakkında standartlarını belirlemektir.
Kapsam
Bu politika VPN ile Medivia /Kurum/Tıp Merkezi/ Hastane ağına bağlanacak kurumları, çalışanları, sözleşmelileri, danışmanları, geçici çalışanları ve diğer bütün personeli kapsamaktadır. Bu politika VPN bağlantılarının sonlandırıldığı ürünlere uygulanacaktır.
Politika
Medivia /Kurum/Tıp Merkezi/ Hastane yetkili çalışanları ve üçüncü şahıslar VPN’in faydalarından yararlanabilirler.
Buna ek olarak,
Uzaktan bağlantıda mutlaka VPN kullanılmalıdır.
Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir.
VPN kullanım hakkı verilen kişiler yetkisiz kişilere bu hakkı kullandırmaması için gerekli tedbirleri almakla sorumludur.
Kurum ağına bağlanıldığında, PC’den çıkan ve giren trafik sadece VPN kanalından iletilecektir ve Medivia /Kurum/Tıp Merkezi/ Hastane güvenlik politikaları uygulanacaktır.
Kurumun VPN ağ geçitlerinin kurulması ve yönetimi Medivia /Kurum/Tıp Merkezi/ Hastane’a ait yetkili personel tarafından yapılacaktır.
Kuruma ait bilgisayarlara sahip olmayan kişiler Medivia /Kurum/Tıp Merkezi/ Hastane’nin VPN ve ağ politikalarına uygun bir şekilde bilgisayarlarında antivirüs yazılımları kurulu ve güncel olmalıdır.
Sadece kurumun onay verdiği kullanıcılar VPN’ i kullanabilir.
Şirket personeli dışında üçüncü şahıslara verilecek VPN erişimleri için gizlilik anlaşması yapılmalıdır.
P12 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI
Amaç
Kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktır.
Kapsam
Medivia/Kurum/Tıp Merkezi/ Hastane bilgi sistemlerine erişen kurum personeli ile kurum dışı kullanıcılar bu politika kapsamı alanındadır.
Politika
a) Kurum sistemlerine erişecek tüm kullanıcıların kurumsal kimlikleri doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenecektir.
b) Kurum sistemlerine erişmesi gereken firma kullanıcılarına yönelik ilgili profiller ve kimlik doğrulama yöntemleri tanımlanacaktır.
c) Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkiler belirlenmeli, denetim altında tutulmalıdır.
e) Erişim ve yetki seviyelerinin sürekli olarak güncelliği temin edilmelidir.
f) Kullanıcılar da kurum tarafından kullanımlarına tahsis edilen sistemlerin güvenliğinden sorumludur.
g) Sistemler üzerindeki erişim logları düzenli olarak tutulmalıdır.
h) Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır.
I) Sistemlere erişen kullanıcıların yetki aşımına yönelik hareketleri izlenmeli ve kayıt alınmalıdır.
k) Ortak hesap kullanılmamalı, her kullanıcıya kendisine ait bir kullanıcı hesabı açılmalıdır.
P13 KABUL EDİLEBİLİR KULLANIM POLİTİKASI
Amaç:
Kabul Edilebilir Kullanım Politikasının amacı, Medivia /Kurum/Tıp Merkezi/ Hastane şirket personelinin Sistem, Bilgi ve Varlıkların Gizlilik, Bütünlük ve Erişebilirlik özelliğini garantilemek için yapması ve uyması gereken iş kurallarını kendilerine iletmektir.
Kapsam
Bu politika; Medivia/Kurum/Tıp Merkezi/ Hastane personeli ile şirket için çalışan Yüklenici Firmalar için olup tüm Medivia/Kurum/Tıp Merkezi/ Hastane bilişim etkileşimli kritik bilgi varlıklarını kapsar.
Politika Metni
Tüm personel, kendi alanlarına ait Güvenlik Politikalarına uymak zorundadır.
Kurum polikita ve prosedürleri, İnsan Kaynakları ve ilgili yöneticiler tarafından Medivia /Kurum/Tıp Merkezi/ Hastane çalışanlarına, yeni işe başlayanlara ve müşterilere duyurulacaktır. İlgili Güvenlik Politikalarına uyulacağı personel iş sözleşmesinde yer almalı ve personele imzalatılmalıdır.
Medivia/Kurum/Tıp Merkezi/ Hastane şirket ortamında tutulan ve iletilen tüm bilgiler; şirketin malıdır ve Medivia/Kurum/Tıp Merkezi/ Hastane bu bilgileri izleme ve denetleme hakkına sahiptir.
Medivia/Kurum/Tıp Merkezi/ Hastane’nin Gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır. Şirketin iş gereksinimi dışında bu bilgilerin kopya edilmesi ve iletilmesi yasaktır.
Medivia/Kurum/Tıp Merkezi/ Hastane personeli, kendilerine tahsis edilmiş tüm bilgisayar erişim bilgilerini ve kendisine verilmiş cihazların güvenliğini korumakla sorumludur. Erişim bilgileri herhangi birine söylenemez ve bu bilgiler başkaları ile paylaşılamaz.
Hiçbir personel, bilgisayarlarından anti virüs koruma yazılımını devre dışı bırakamaz.
Kaynağı belli olmayan ve üretici firması tarafından kopya edilmesi yasaklanmış bir bilgisayar yazılımını kopyalamak yasaktır.
Hiç bir personel izin almadan kendi PC’ sinden veya başka bir kaynak kullanarak, Medivia/Kurum/Tıp Merkezi/ Hastane’nin Bilişim Ağını tarayamaz, izleyemez veya dinleyemez.
Hiçbir personel, şirket içinde kendilerine tahsis edilen bilgisayar yetkilerinin dışına çıkamaz ve bu konuda yetki aşma işlemine girişemez.
4.0 Yaptırım
Kurumsal Bilgi Güvenlik Politikalarının ihlali durumunda, Disiplin prosedürü esas alınarak işlem yapılır.
P14 TEMİZ MASA TEMİZ EKRAN POLİTİKASI
Amaç:
Çalışanların mesai saatleri içi veya dışında kendilerine görevleri gereği paylaşılmış olan bilgilerin yetkisiz erişimler veya uygunsuz kullanımı sonucunda başına gelebilecek riskleri ortadan kaldırmak.
Kapsam:
Çalışma masaları, ekranlar, basılı dokümanlar, belgeler, kayıtlar.
Sorumlular:
Tüm çalışanların bu politikaya uygun hareket etmekten sorumludur.
Uygulama:
Çalışma sonunda kâğıt ortamında ya da elektronik cihazlar üzerinde tutulan “gizli ya da çok gizli” bilgiler güvenlikli ortamlarda (çelik kasa, kilitli dolap ve çekmeceler vb) saklanacaktır.
Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kağıt öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilecektir.
Her türlü haberleşmede kullanılan cihazlar (telefon, faks, fotokopi makineleri) üzerinde belge, doküman bırakılmayacaktır.
Her türlü ekrandan ulaşılabilen bilgiler, şifreler, anahtarlar ve kodlar, bilginin sunulduğu sistemler, ana makineler (sunucu), PC’ler vb. cihazlar şifresiz kullanılmayacaktır.
Ekranlarda çalışılmaması durumunda devreye girecek ekran koruması (parola) tüm PC’lerde, notebooklar da etkinleştirilecektir.
Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde bırakılmalıdır.
Çalışma saatleri içerisinde bilgisayardan uzaklaşıldığında mutlaka bilgisayar kilitli bırakılmalıdır.(Ekran koruyucu 5-10 dk arasında devreye girmelidir ve şifre koruması olmalıdır.)
Gelen ve giden mesaj noktaları ve faks veya teleks makineleri başıboş olarak bırakılmamalıdır.
Hassas ve sınıflandırılmış bilgi basıldığında yazıcıda bırakılmamalıdır.
Bilgisayarların masaüstlerindeki klasör ve dosyalar düzenli tutulmalıdır.
Bilgisayarlara ait olan şifreler kesinlikle kâğıt ortamlara yazılı bir şekilde bırakılmamalıdır.
Kurum içerisinde tanımlanan bilgi varlıkları, kriptografik şifreleme yöntemleri ile saklanmalıdır.
Risk değerlendirmelerine göre yüksek düzeyde koruma gerektiren bilgi varlıkarının korunmasında güçlü şifreleme algoritması kullanılmalıdır.
Mobil cihazlardaki verilerin korunmasında güçlü şifre kullanılmalıdır.
Eposta hesabı kurulu akıllı telefonlarda telefon kilidi kullanılması zorunludur.
Tanımlanan şifreler belirli aralıklarla değiştirilmelidir.
P16 ZİYARETÇİ KABUL POLİTİKASI
AMAÇ
Bu politikanın amacı dışarıdan gelen misafirlerin kabulü, kurum içinde dolaşmaları ve kurumdan uğurlanmaları ile ilgili kuralları belirlemektir.
SORUMLULAR:
Bu politikanın uygulanmasından Medivia/Kurum/Tıp Merkezi/ Hastane’daki tüm yönetici ve çalışanlar sorumludur.
UYGULAMA:
Dışarıdan ziyaret amaçlı gelen kişiler resepsiyon tarafından karşılanır ve yönlendirilir.
Gelen ziyaretçi ziyarete geldiği kişi tarafından girişte karşılanır.
Ziyaretçiler toplantı odalarında ağırlanır, çalışma alanlarına erişim bakım onarım ve denetleme firmaları dışında kesinlikte erişim yasaktır.
Kargo elemanları, yemek siparişi için gelen kişiler resepsiyonda bekletilir.
Ziyarete gelen kişiler ile ilgili bilgiler resepsiyon tarafından kayıt edilir.
Ziyaretçiler internet kullanmak istediklerinde kurum ağını kullanamazlar.
YAPTIRIM
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır.
P17 MOBİL VE TAŞINABİLİR CİHAZ POLİTİKASI
AMAÇ
Bu politikanın amacı Medivia/Kurum/Tıp Merkezi/ Hastane’a ait bilgi içeren mobil ve taşınabilir cihazların kullanımı ile ilgili kuralları belirlemektir.
SORUMLULAR:
Bu politikanın uygulanmasından Medivia/Kurum/Tıp Merkezi/ Hastane’nin tüm çalışanları sorumludur.
UYGULAMA:
Kuruluşa ait bilgi içeren taşınabilir cihazlar ilgili kişiye zimmetlenerek teslim edilir.
Her çalışan kendisine zimmetlenen cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.
Taşınabilir bilgisayarlar admin yetkisi sınırlandırılarak yalnızca user yetkilendirmesi ile ilgili kişiye teslim edilir.
Taşınabilir veya mobil cihazlara dışarıdan herhangi bir yazılım, siyasi propaganda, ırkçılık, şiddet, pornografi veya erotizm içeren resim, film veya müzik kopyalanamaz ve cihaz içerisinde bulundurulamaz.
Kuruluş telefon hatları ve bilgisayarlar üzerinden üçüncü taraf kişilerle borç alacak ilişkisi, tehdit, küfür, kuruluş itibarını zedeleyecek içerik ve yasa dışı iletişim kurulamaz.
Bilgisayarlar üzerindeki anti virüs programları hiçbir nedenle devre dışı bırakılamaz.
Taşınabilir bilgisayarlar üzerinde yapılan çalışmalar ve oluşturulan dosyalar mutlaka ağ üzerinde ilgili adrese kaydedilmelidir.
Kaybolması ve çalınması kolay olduğundan mobil cihazlar kontrol altında bulundurulmalıdır.
YAPTIRIM
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır.
P18 ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
AMAÇ
Bu politikanın amacı Medivia/Kurum/Tıp Merkezi/ Hastane bilgi sistemlerine üçüncü taraflar tarafından ulaşılması durumunda güvenliğinin sağlanmasıdır.
SORUMLULAR:
Bu politikanın uygulanmasından BT, IK ve İdari İşler sorumludur.
UYGULAMA:
Kurum dışından gelen bakım ve tamir çalışanları, diğer tedarikçilerde de olduğu gibi, kurum içinde olduğu süre boyunca bir gizlilik anlaşması veya iş sözleşmesi imzalamalıdır.
Müşteri veya bakım firmaları kurumun bilgi sistemlerine kendilerine verilen yetki kapsamında erişim sağlayabilirler.
Üçüncü taraflara kurumun ağına erişim izni verilecek bilgisayarlar için SANAL ÖZEL AĞ (VPN) POLİTİKASI uygulanacaktır. Medivia/Kurum/Tıp Merkezi/ Hastane, üçüncü taraflara herhangi bir uyarıda bulunmadan ağa olan erişimlerini kesebilir.
Tedarikçiler ile kurum sistemlerine erişmeden önce koşulların tanımlanmakta olduğu bir anlaşma imzalanmalıdır.
YAPTIRIM
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır.
P19 OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI
AMAÇ
Bu politikanın amacı Medivia/Kurum/Tıp Merkezi/ Hastane bilgi güvenliği olay ihlal süreçlerini belirler.
SORUMLULAR:
Bu politikanın uygulanmasından tüm personel sorumludur.
UYGULAMA:
Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında mutlaka kayıt altına alınmalıdır.
Bilgi güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin sonlandırılmasını sağlayan uygun bir geri besleme süreci oluşturulmalıdır.
Bilgi güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı formunu Bilgi Güvenliği Ekibi ile birlikte doldurmalıdır.
İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir.
Tüm çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği ihlallerini önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine veya Bilgi Güvenliği Ekibine mümkün olan en kısa sürede rapor etmelidir.
Normal olasılık planlarına ek olarak olayın tanımı ve sebebinin analizi, önleme, tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması, olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili otoritelere raporlanması konuları göz önüne alınmalıdır.
İç problem analizi, adli incelemeler veya üretici firmadan zararın telafi edilmesi için aynı türdeki olayların izleme kayıtları (log) toplanır ve korunur.
Güvenlik ihlallerinden kurtulmak için gereken eylemler, sistem hatalarının düzeltilmesi hususları dikkate alınır.
Bilgi güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir.
Kanıt toplama; kuruluş içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır;
Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul edilebilirlik derecesi,
Kanıtın niteliği ve tamlığını gösteren içerik.
YAPTIRIM
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır.
P20 GÜVENLİ YAZILIM GELİŞTİRME POLİTİKASI
Yönetim sadece uygun yazılım projelerinin başlatıldığından ve proje altyapısının uygun olduğundan emin olmalıdır.
Uygulama yazılımlarının kurum içerisinde mi hazırlanacağı yoksa satın mı alınacağının belirlenmesi, uygun bir şekilde tanımlanmalıdır.
Sistem geliştirmede, ihtiyaç analizi, fizibilite çalışması, tasarım, geliştirme, deneme ve onaylama safhalarını içeren sağlıklı bir iş planı kullanılmalıdır.
Kurum içinde geliştirilmiş yazılımlar ve seçilen paket sistemler, ihtiyaçları karşılamalıdır.
Yazılım geliştirme ve temin politikalarına uygun olmayan, ulusal ve uluslararası yazılım geliştirme standartları çerçevesinde geliştirilmemiş ve kurum talebi olmaksızın üretilmiş olan yazılımların kurumsal sistemler üzerine entegre edilmesine izin verilmemelidir.
Hazırlanan sistemler mevcut prosedürler dâhilinde, işin gerekliliklerini yerine getirdiklerinden ve iç kontrol yapıldığından emin olunması açısından test edilmeli, yapılan testler ve test sonuçları belgelenerek onaylanmalıdır.
Yeni alınmış veya revize edilmiş bütün yazılımlar test edilmeli ve onaylanmalıdır.
Yeni yazılımların dağıtımı ve uygulanması kontrol altında tutulmalıdır.
Yazılımlar sınıflandırılmalı/etiketlenmeli ve envanterleri çıkarılarak varlık envanterinde güncellenmelidir.
Kurumsal yazılım geliştirme esasları yayınlanmışsa ona uygun geliştirme talep edilmelidir. Fonksiyon isimlendirme, yorum kullanımı, kullanılan yazılım dili vb.
Kurumda kişisel olarak geliştirilmiş yazılımların kullanılması engellenmelidir.
Eski sistemlerdeki veriler tamamen, doğru olarak ve yetkisiz değişiklikler olmadan yeni sisteme aktarılmalıdır.
P21 BİLGİ TEKNOLOJİLERİ İLETİŞİM ve ÖZEL İLGİ GRUPLARI POLİTİKASI
Bilgi teknolojileri süreçlerinde gerek duyulduğunda aşağıdaki iletişim bilgileri kullanılmalıdır:
Bilgi teknolojileri konusunda ilk iletişime geçilmesi gereken birim ve numaraları aşağıdaki gibidir.
Bilgi Teknolojileri | HBYS |
| |
Bilmed | |||
Sunucular (Donanım) |
| ||
Santral |
| ||
internet | |||
İDARİ İŞLER (Klima UPS Jeneratör) |
|
| |
UPS |
| ||
Pronet |
| ||
OTORİTELER |
| İLKYARDIM | 112 |
| İTFAİYE | 110 | |
| POLİS | 155 |
BİLGİ GÜVENLİĞİ POLİTİKASI ONAYI
Amaç
Bu form Medivia/Kurum/Tıp Merkezi/ Hastane’da, Bilgi Güvenliği Politikasının okunduğu, anlaşıldığı ve kabul edildiğinin onaylandığı bir dokümandır.
Bu formu BT çalışanlar ve yöneticiler onaylayacaktır. Kurumun en üst yöneticisi bu politikanın uygulanabilirliğinden sorumludur.
İzlenecek Prosedür
Aşağıdaki adımlar takip edilmelidir.
Bilgi Güvenliği politikasını okuyunuz.
Aşağıda belirtilen bölümlere tarih atınız ve imzalayınız.
Bu sayfayı ilgili birim yöneticisine iletiniz.
Anlaşma
Bu forma imza atarak aşağıda yazılanları kabul etmiş oluyorum.
Medivia/Kurum/Tıp Merkezi/ Hastane bilgi güvenliği politikasının bir kopyasını teslim aldım, okudum ve anladım.