Kahramanmaraş
İl Sağlık Müdürlüğü

T.C. Sağlık Bakanlığı
Kahramanmaraş İl Sağlık Müdürlüğü

Facebook Twitter Google Plus Linkedin

Bilgi Güvenliği

Güncelleme Tarihi: 05/06/2017

Bilgi Güvenliği

Bilgi Güvenliği Politikaları Kılavuzu Bakanlık Makamının 28/02/14 tarihli ve 5181.1272 sayılı onayı ile Bilgi Güvenliği Politikalar Yönergesinin eki olarak yürürlüğe konulmuştur. 

Günümüzde hızla gelişen bilim ve teknoloji insan hayatını oldukça kolaylaştırmaktadır. Bilgisayarlar, tabletler, akıllı cep telefonları vb. elektronik aletler günlük hayatımızda sürekli kullandığımız cihazlardır. İnternet teknolojisi ile bu cihazların kullanımı artmış, bilgiye ulaşmak kolaylaşmıştır. Bu küresel iletişim ağı bilimsel araştırmaların, üretkenliğin, kültürel değişmelerin, küresel ticaretin ve küresel eğitimin ana bilgi kaynağı olmuştur. Bu ağ dünyada yaşayan tüm insanlar arasında yazılı, sözlü ve görüntülü iletişim kurmak için küresel bir merkez oluşturmuştur. Dünyanın bir ucundaki kütüphanede bulunan bilgilere çok hızlı ve çok kolay bir şekilde ulaşabilmektedir. Artık kâğıt ortam yerini elektronik ortama bırakmış ve böylece bilgi akışı hızlanmış, bilgi ile belge saklama, depolama ve korumada büyük kolaylık sağlanmıştır. İstenilen bilgi, belge, doküman ve verilere ulaşımda zaman kazanılmış, maliyet azalmış ayrıca çevreyi koruma açısından önemli bir adım atılmıştır. 
Günümüzde kurumlar bilgilerinin büyük bir kısmını elektronik ortamda bulundurmakta ve bu bilgileri bilişim sistemleri altyapısı kullanarak işlemektedir. İş ve işlemlerin elektronik ortama taşınması, kamu hizmetlerinin etkinleştirilmesi, yasa dışı faaliyetlerin tespit edilebilmesi ve önlenmesine yönelik olarak kişisel bilgilerin de elektronik ortamda bulunması ve işlenmesi yoğun bir şekilde artmıştır. Ancak bu durum, kişisel bilgilerin sahiplerinin isteği dışında ilgisiz ve yetkisiz tarafların eline geçmesi, kişisel bilgi sahibini rahatsız edecek veya onlara zarar verecek şekilde yasa dışı olarak kullanılması ve kişi mahremiyetinin ihlali tehlikesini de doğurmaktadır. Dolayısı ile gelişen bilişim teknolojileri bilgi güvenliği olgusunu da beraberinde önce ihtiyaç sonra zorunluluk haline getirmiştir. 
Sağlık sektöründe güncel teknolojinin hissedilir şekilde kullanılmasıyla birlikte teknolojinin taşıdığı bazı risklerle de yüz yüze gelinmiştir. Elektronik ortamdaki tüm veriler gibi, kişisel sağlık bilgilerini tehdit eden riskler için güvenlik önlemlerinin alınması zorunlu hale gelmiştir. Kişisel sağlık bilgileri, kişinin doğum öncesinden ölüm sonrasına kadar geçen süreyi kapsayan sağlık bilgilerinin tümüdür. Sağlık kayıtlarının sayısallaştırılması etkin sağlık hizmeti için yadsınamayan ciddi bir hamledir. Güncel teknolojilerin kişisel sağlık bilgilerinin gizlilik, bütünlük ve erişilebilirlik risklerini artırmasından dolayı sağlık bilgilerinin güvenliği zedelenmektedir. Kişisel sağlık bilgilerinin mahremiyeti esastır. Bu nedenle önlemlerin alınması, risklerin saptanıp indirgenmesi zorunlu hale gelmiştir. 
Sağlık Bakanlığı olarak hazırlamış olduğumuz bu kılavuz sizlere yapılması gereken bilgi güvenliği çalışmalarında önderlik yapacaktır. Bir program dâhilinde ilerlemenizi sağlayacak, tüm yönetici ve son kullanıcıların bu kapsamda yapmaları gereken işler çerçevesinde bir rehber olarak hazırlanmıştır. 


BİLGİ GÜVENLİĞİ POLİTİKALARI YÖNERGESİ VE KILAVUZA DAİR GENEL AÇIKLAMALAR

Bakanlığımız bilgi güvenliği çalışmaları; iki ana eksen üzerine oturtulmaya çalışılmıştır. Bunlardan Bilgi Güvenliği Politikaları Yönergesi ile hukuki ve idari alt yapı oluşturulmuş, yönergeden alınan yetki ile ise bilgi güvenliği teknik, sistemsel unsurlarının yer aldığı Bilgi Güvenliği Politikaları Kılavuzu hazırlanarak kullanıma sunulmuştur. 
Kılavuzda yer alan teknik terminolojinin herkesçe anlaşılabilmesi için kılavuzun sonunda “Bilgi Güvenliği Terimleri Sözlüğü” ne yer verilmiştir. 
Bu kılavuz Bakanlık Makamının 28/02/14 tarih ve 5181.1272 sayılı, onayı eki ile yürürlüğe konulan “Bilgi Güvenliği Politikaları Yönergesinin” ilgili hükümleri çerçevesinde Sağlık Bilgi Sistemleri Genel Müdürlüğünce hazırlanmak sureti ile yönergenin kapsam maddesinde belirtilen tüm ilgili taraflara resmi yazı ekinde ve bilgiguvenligi.saglik.gov.tr/ adresinde yayınlanmak sureti ile iletilmektedir. 
Kılavuzda temel amaç; Sağlık Bakanlığının görevleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde güvenliğin sağlanmasına yönelik tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içerden veya dışardan kasıtlı ya da kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, son kullanıcı, idareci, sistem ve veri tabanı yöneticileri ve teknik personelin bilgi sistem ve ağları üzerinde yapacakları çalışmalarda bilgi güvenliği farkındalık, duyarlılık ve teknik bilgi düzeylerinin artırılması ile sistemsel güvenlik açıklarının ortadan kaldırılmasını sağlayarak, insan kaynaklı zafiyetlerin önlenmesi ve gizliliği, bütünlüğü ve erişilebilirliği sağlanmış bilişim alt yapısının kullanılması ve sürdürebilirliğinin temin edilmesi sureti ile; veri ve bilgi kayıplarının önlenmesi bu yolla ekonomik zarara uğranılmaması ve kurumsal prestij kaybı yaşanmaması ana ilke ve amaçlar olarak öngörülmektedir. 


Şekil 1 - Güvenlik Açıkları

Kılavuzun 1.versiyonu içerisindeki bazı başlıklar çalışmaları devam ettiğinden 2.versiyonda tamamlanacaktır. 
Bu çalışmada, Bakanlık merkez ve bağlı kuruluşların görüş ve önerileri dikkate alınmış olmakla beraber, kılavuza ilişkin yapılacak çalışmalarda dikkate alınmak üzere tüm kullanıcılar ile kurum ve kuruluşlar, olabilecek görüş ve önerilerini bgkilavuzu@saglik.gov.tr mail adresine gönderebilirler. 
Bu kılavuzda esasen bilgi sistemleri güvenliğine yönelik yaklaşım benimsenmiş olup; “kişisel veri ve bilgilerin ” kullanımı ve mahremiyet ilkelerine ilişkin hususlar; 663 sayılı KHK’da ön görüldüğü üzere Sağlık Hizmetleri Genel Müdürlüğü görevleri arasında yer alan “8. Maddesinin j fıkrasında” ifade edilen “İlgili mevzuat çerçevesinde kişisel verilerin korunmasına ve veri mahremiyetinin sağlanmasına yönelik düzenleme yapmak” hükmü çerçevesinde hazırlanacak olan düzenlemeye bırakılmıştır. 
Bilgi güvenliği konusunda bilgi kaynaklarına erişim sağlanması amacı ile kılavuzun sonunda “yararlı kaynaklar “ başlığı altında bazı ulusal ve uluslar arası bağlantılar belirtilmiş olup; bunlardan bilgiguvenligi.gov.tr ve Bakanlığımız bilgiguvenligi.saglik.gov.tr/ sayfası takip edilmek suretiyle en güncel ve yararlı bilgi güvenliği belgelerine erişim sağlanmış olacaktır. 
Bilgi güvenliği yetkilisinin görevlendirilmesinde; yönerge üst yönetimleri yetkili kılmış olmakla kurumların mevcut personel yapısının ortak amaçlar için kullanılmasına imkan sağlamıştır. Bu çerçevede üst idarelerin kararları doğrultusunda birkaç veya grup alt düzey kurumların “koordinatör bilgi güvenliği yetkilisi” görevlendirme noktasında esnek bir yaklaşım benimsemelerine imkan tanınmıştır. Bilgi güvenliği yetkilisi öncelikle bilişim alt yapısı yeterli personel içerisinden seçilmiş olabileceği gibi mevcut personeller içerisinden en uygun olanında seçilmesi şeklinde görevlendirilmesi mümkün olacaktır. 
Bilgi Güvenliğinin sağlanmasında yönetsel, teknik, idari, hukuki araçlar sistematik olarak kullanılmalıdır. Bilgi güvenliğinin sağlanmasında standart bir yaklaşımın tesis edilmesi çerçevesinde yönetsel bir araç olarak, bilgi güvenliği yönetim sistemi yaklaşımı kurumsal düzeyde kullanılmakta olup, bu yaklaşımın temeli TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır. Bu standart kurumlara bilgi güvenliğinin sağlanmasında sistematik ve dokümantasyon tabanlı bir anlayışın entegre edilmesinde önemli bir araç olarak kullanılmaktadır. Kurumlar, TS ISO 27001 Standardı uyumlaşma çalışmaları neticesinde, TSE başta olmak üzere akredite edilmiş kurum ve kuruluşlar tarafından sertifikalandırılmaktadır. Ancak, bilgi güvenliğinin sağlanmasında alınmış bir Bilgi Güvenliği Yönetim Sistemi sertifikasyonundan ziyade, içselleştirilmiş bir kurumsal farkındalık, duyarlılık ve bilgi düzeyinin kurumun bilgi güvenliği alt yapısı itibari ile çok daha önemli olduğu gerçeği göz ardı edilmemelidir. 


Şekil 2 - Bilgi Güvenliği Nasıl Sağlanır?

TS ISO 27001 uyumlaşma çalışmaları her kurumun kendi çabaları ve kurumsal kapasiteleri ile gerçekleştirilebilecek bir alan olup, bu konuda üçüncü taraflar yerine Bakanlığımız Sağlık Bilgi Sistemleri Genel Müdürlüğü tüm kurum ve kuruluşlarımıza rehberlik ve danışmanlık desteği sağlama noktasında alt yapısını geliştirme çalışmalarını yürütmektedir. TS ISO/IEC 27001 BGYS standart şablon dokümanları bilgiguvenligi.saglik.gov.tr/ adresinde yayınlanacak, bilgi güvenliği ve BGYS konularında uzaktan eğitim modülü yayına alınmak sureti ile aynı anda çok sayıda personelin bilgi güvenliği farkındalık, duyarlılık ve bilgi düzeylerinin geliştirilmesi sağlanmış olacaktır. Bilgi Güvenliği Politikaları Yönergesi ilgili maddeleri gereğince bilgi güvenliği eğitimleri ile ilgili eğitim planlamaları Sağlık Bilgi Sistemleri Genel Müdürlüğünce yapılacak olup, konu yıllık hizmet içi eğitim planlamalarında da yer alacaktır. Kılavuzda ifade edilen hususlarda; tüm kullanıcıları kapsayan madde başlıkları olabildiği gibi sadece sistem ve veri tabanı yöneticilerini, hizmet sağlayıcıları, yöneticileri ilgilendiren müstakil konu başlıkları da yer almaktadır. Sorumluluk düzeylerinin belirlenmesinde ilgililik ve yetki düzeyleri temel kriterler olarak ön görülmeli, hazırlanacak olan bilgi güvenliği planlarında yönetimsel, teknik ve son kullanıcı düzeyinde sorumluluk ve yetki alanları belirtilmelidir. 

Bilgi Güvenliği Personel Gizlilik Sözleşmesi

Bilgi Güvenliği Kurumsal Gizlilik Sözleşmesi

Bilgi Güvenliği Politikaları