Bilgi Güvenliği Politikası
18 Ekim 2022


1. Politika

Dörtyol Devlet Hastanesi  Bilgi Güvenliği Politikası, etkin ve yerleşmiş bilgi teknolojileri güvenlik süreçleri ve prosedürleri aracılığıyla sağlık hizmetlerinden faydalanan vatandaşa ait bilgilerin ya da kurumsal hizmetlerin icra edilmesi esnasında edinilen bilgi ve kaynakların güvenliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır.

2.Amaç;

Kurum yönetimi açısından;

• Kurumun güvenilirliğini ve temsil ettiği makamın imajını korumak,

• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,

• Kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak

• Bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamak.

3.Kapsam

Bu politika, kurum Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

4.Dayanak;

a)T.C.Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğünün 17 Eylül 2007 tarih ve 2023 sayılı“Bilgi Güvenliği Politikaları” konulu yazıları,

b)T.C. Sağlık Bakanlığı İdari ve Mali İşler Daire Başkanlığının 2010/61sayılı Genelgeleri.

c)T.C.Sağlık Bakanlığı Bilgi Güvenliği Politikaları Kılavuzu Yönergesi

5.Bilgi Güvenliği Tanımı

Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.

Bilgi güvenliği temelde aşağıdaki üçunsuru hedefler:

• Gizlilik (Confidentiality)

• Bütünlük (Integrity)

• Kullanılabilirlik (Availability)

Bu kavramları biraz daha açacak olursak:

Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.

Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz.

Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

6.İlkeler;

Kurum bilgi işlem alt yapısını kullanan ve bilgi kaynaklarına erişen herkes:

a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamalı,

b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli,

c) Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı,

d) Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi İşlem Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemleri almalı,

e) Kurum içi bilgi kaynakları (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilmemeli,

f) Kurum bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılması engellenmeli,

g) Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür.

7.Roller ve Sorumluluklar;

a) İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle kapsam dâhilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.

b) Bilgilerin bütünlüğü her durumda korunacaktır.

c) Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.

d) Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.

e) Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel ya da elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.

f) Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınacaktır.

g) Tüm çalışanlarımız bütün faaliyetlerde“bilmesi gereken” prensibine göre bilgilendirilecek olup; elektronik ortamda da “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır.

h) Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını sağlayacaklardır.

8.Bilgi Güvenliği Organizasyonu

Müdürlüğümüzde bilgi güvenliği organizasyonu 5 ana yapıdan oluşmaktadır.

a) BGYS Komisyonu: Bilgi Sistemleri Koordinatörü komisyona başkanlık eder. Her Başkanlıktan da komisyonda bir üye bulunur.

b)Bilgi Sistemleri Koordinatörü: En az Başkan seviyesinde bir personel olup komisyona başkanlık eder.

c)Bilgi Güvenliği Yetkilisi: Bilgi güvenliği faaliyetlerini yürütmek ve koordine etmekle görevlidir.

d)Kurumsal SOME: Bilgi güvenliği faaliyetlerini yürütmek ve koordine etmekle görevlidir.

e)Üst Yönetim: Bilgi güvenliği ile ilgili faaliyetlerin yerine getirilmesi maksadıyla organizasyonu kurar, çalıştırılmasını sağlar ve politikaların uygulanmasını takip eder.

Organizasyonla alakalı ayrıntılı bilgiler Bilgi Güvenliği Politika Prosedüründe yer almaktadır.

9.Politika İhlali ve Yaptırımlar;

Kurum bilgi güvenliği faaliyetlerinin etkin olarak yürütülmesi maksadıyla yaygın olarak kabul gören bilgi güvenliği standartları, ilgili yasa, mevzuat ve yönetmeliklerin gerektirdiği şartlara yönetim tarafından uyulacak, ilgili taraflarca uyulması sağlanacaktır. İç bağlamda belirtilen unsurlar, ilgili standart, mevzuat ve yönetmeliklerin getirdiği sorumluluklara uymakla yükümlüdür.

Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki yaptırımlardan bir ya da birden fazla maddesi uygulanabilir.

• Uyarma,

• Kınama,

• Aylıktan Kesme,

• Kademe İlerlemesinin durdurulması,

• Para cezası,

• Sözleşmenin feshi,

İşbu “Bilgi Güvenliği Politikası” Dörtyol Devlet Hastanesi Başhekimi tarafından onaylanmasının ardından yürürlüğe girer ve tüm hastane personelince uyulması gereklidir.

EK:A

“Bilgi Güvenliği Politikası” çerçevesinde, Kurumsal Bilişim sistemlerinin güvenliğinde herhangi bir aksamaya mahal verilmemesi için genel sistem seviyesinde alınmış olan güvenlik tedbirleri yanında aşağıda belirtilen hususlara bütün müdürlük çalışanları uymak zorundadır.

1.E-posta Kullanma Kuralları

a) Kurumun e-posta sistemi, taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.

Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.

b) Kişisel kullanım için İnternet’teki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır.

c) Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.

d) Kullanıcıların kullanıcı kodu/şifresini girmesini isteyene-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.

e) Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.

f) Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu yüzden şifre kullanılmalı ve e-posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunmalıdır.

g) Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli ve kurumsal mesajları cevaplandırmalıdır.

h) Kurum çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisiz şahıslar tarafından görünmesi ve okunmasını engellemekten sorumludurlar.

i) Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Çünkü bu mailler virüs, e-mail bombaları ve Truva atı gibi zararlı kodlar içerebilirler.

j) Kurum dışından güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır.

k) Elektronik postalar sık sık gözden geçirilmeli, gelen mesajlar uzun süreli olarak genel elektronik posta sunucusunda bırakılmamalı ve bilgisayardaki bir kişisel klasöre çekilmelidir.

l) Hastanemiz  çalışanları gönderdikleri, aldıkları ve yasakladıkları e-maillerde kişisellik aramamalıdır. Yasa dışı ve hakaret edici e-posta haberleşmesi yapılması durumunda yetkili kişiler önceden haber vermeksizin e-posta mesajlarını denetleyebilir ve kullanıcı hakkında yasal ve idari işlemler başlatabilir.

m) Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler.

n) Altı ay süre ile kullanılmayan e-posta kutuları Bilgi İşlem birimi tarafından kaldırılabilir. Kurumdan ayrılan personel kurumsal e-posta sistemini kullanamaz. E-posta adresine sahip kullanıcı herhangi bir sebepten birim

değiştirme, emekli olma, işten ayrılma sebepleriyle kurumdaki değişikliğinin yetkililer tarafından Bilgi İşlem birimine en kısa zamanda bildirilmesi gerekmektedir.

2.Şifre Kullanma Kuralları

a) Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.)en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her üç ayda birdir.

b) Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.

c) Şifreler başkası ile paylaşılmamalı, kâğıtlara ya da elektronik ortamlara yazılmamalıdır.

d) Şifrelemede,küçük ve büyük karakterlere (örnek,a-z,A Z),hem rakam hem de noktalama karakterlerine (örnek, 0-9,!’^+%&/()=?_;*) sahip olmalıdır.

e) En az sekiz adet alfa nümerik karaktere sahiptir.

f) Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır.

g) Aile isimleri kullanılmamalıdır.

h) Herhangi bir kişiye telefonda şifre verilmemelidir.

i) E-posta mesajlarında şifre yazılmamalıdır.

j) Şifreler aile bireyleriyle paylaşılmamalıdır.

k) Şifreler, işten uzakta olduğunuz zamanlarda iş arkadaşlarına verilmemelidir.

l) Bir kullanıcı adı ve şifresi birden çok bilgisayarda kullanılmamalıdır.

m) Şifre kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir. Güvenlik taraması sonucunda şifreler tahmin edilirse veya kırılırsa kullanıcıya şifresini değiştirmesi talep edilecektir.

3.Anti virüs Politikası

a) Bütün bilgisayarda kurumun lisanslı anti virüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır.

b) Anti virüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem birimine haber verilmelidir.

c) Zararlı programları (örneğin, virüsler, solucanlar, Truva atı, e-mail bombaları vb) kurum bünyesinde oluşturmak ve dağıtmak yasaktır.

d) Hiçbir kullanıcı herhangi bir sebepten dolayı anti virüs programını sistemden kaldıramaz ve başka bir anti virüs yazılımını sisteme kuramaz.

4.İnternet Kullanım Politikası

a) Hiçbir kullanıcı peer-topeer bağlantı yoluyla internetteki servisleri kullanamayacaktır.(Örneğin; KaZaA,iMesh,eDonkey,Gnutella,Napster,Aimster,Madster,FastTrak,Audiogalaxy,MFTP,eMule,Overnet,NeoModus,DirectConnect,Asquisition,BearShare,Gnucleus,GTKGnutella,LimeWire,Mactella,Morpheus,Phex,Qtella,Shareaza,XoLoX,OpenNap,WinMX.vb)

b) Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde ICQ,MIRC,Messenger vb. mesajlaşma ve sohbet programları gibi chat programlarının kullanılmayacaktır.Bu chat programları üzerinden dosya alışverişinde bulunulmamalıdır.

c) Hiçbir kullanıcı internet üzerinden Multimedia Streaming (Video, mp3yayını ve iletişimi) yapamayacaktır.

d) Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinmek yasaktır.

e) İş ile ilgili olmayan (Müzik, video dosyaları) yüksek hacimli dosyalar göndermek (upload)ve indirmek(download)etmek yasaktır.

f) İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez ve kurum sistemleri üzerine bu yazılımlar kurulamaz.

g) Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve dosya indime yapılmamalıdır.

h) Bilgisayar İşletim Sistemlerine zarar verdiği için internet üzerinden ekran koruyucu, yamalar, masaüstü

resimleri, yardımcı tamir edici program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmesi ve/veya kurulması yasaktır.

i) Üçüncü şahısların kurum içerisinden interneti kullanmaları Bilgi İşlem sorumlusunun izni ve bu konudaki kurallar dahilinde gerçekleştirilebilecektir.

j) Bilgi İşlem Birimi, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir.

5.Sunucu işletim kuralları;

a) Sunucular, sıcaklık ve nem değerleri düzenlenmiş; elektrik, ağ altyapısı kuvvetli; tavan ve taban güçlendirmeleri yapılmış ortamlarda bulundurulmalıdır.

b) Sunucuların yazılım ve donanım bakımları üretici firma tarafından belirlenmiş aralıklarla, yetkili uzmanlar tarafından yapılmalıdır.

c) Sistem odalarına giriş ve çıkışlar kontrol edilmelidir.

6.Kablosuz Ağlar Güvenliği

a) Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmalıdır. Bunun için Wi-Fi Protected Access2 (WPA2-kurumsal) şifreleme kullanılmalıdır. IEEE 802. lx erişim kontrol protokolü ve TACACS+ ve RADIUS gibi güçlü kullanıcı kimlik doğrulama protokolleri kullanılmalıdır.

b) Erişim cihazlarındaki firmwareler düzenli olarak güncellenmelidir. Bu, donanım üreticisi tarafından çıkarılan güvenlik ile ilgili yamaların uygulanmasını sağlamaktadır.

c) Cihaza erişim için güçlü bir parola kullanılmalıdır. Erişim parolaları varsayılan ayarda bırakılmamalıdır.

d) Varsayılan SSID isimleri kullanılmamalıdır. SSID ayar bilgisi içerisinde kurumla ilgili bilgi olmamalıdır, mesela kurum ismi, ilgili bölüm, çalışanın ismi vb.

e) Radyo dalgalarının binanın dışına taşmamasına özen gösterilmelidir. Bunun için çift yönlü antenler kullanılarak radyo sinyallerinin çalışma alanında yoğunlaşması sağlanmalıdır.

f) Kullanıcıların erişim cihazları üzerinden ağa bağlanabilmeleri için, Kurum kullanıcı adı ve parolası bilgilerini etki alanı adı ile beraber girmeleri sağlanmalı ve Kurum kullanıcısı olmayan kişilerin, kablosuz ağa yetkisiz erişimi engellenmelidir.

g) Erişim cihazları üzerinden gelen kullanıcılar Firewall üzerinden ağa dâhil olmalıdırlar.

h) Erişim cihazları üzerinden gelen kullanıcıların internete çıkış bant genişliğine sınırlama getirilmeli ve kullanıcılar tarafından kurumun tüm internet bant genişliğinin tüketilmesi engellenmelidir.

i) Erişim cihazları üzerinden gelen kullanıcıların ağ kaynaklarına erişim yetkileri, internet üzerinden gelen kullanıcıların yetkileri ile sınırlı olmalıdır.

j) Kullanıcı bilgisayarlarında kişisel anti-virüs ve güvenlik duvarı yazılımları yüklü olmalıdır.

k) Erişim cihazları bir yönetim yazılımı ile devamlı olarak gözlemlenmelidir.

l) Kablosuz erişim noktalarının aktif cihazlara giden kablolamasında fiziksel güvenliğe dikkat edilmelidir.

m) Kurum çalışanlarının kullandığı ile misafirler için olan SSID’ler farklı olmalıdır.

n) Kablosuz ağa dahil olan kurum çalışanları için bile erişimler sınırlandırılmalıdır. Sadece internete çıkacak olan kullanıcıların kablosuz ağ üzerinden diğer uygulamaların (ses, güvenlik, mobilitevb) çalıştığı networklere erişimi engellenmeli gerekirse networkler farklı IP aralıkları üzerinde ayarlanmalı, cihaz üzerinde Access Control Listler (Yetki kuralları) oluşturulmalıdır.

o) Kablosuz ağ cihazlarına erişim sadece yetkili kişiler tarafından SSH ile ya da cihaz başında console (konsol) ile yapılmalı, http ve telnet kapatılmalıdır. Ayrıca kablosuz cihazlara erişim için de “enable ve console (konsol) şifresi” oluşturulmalıdır.

7.Genel Kullanım Politikası

a) Bütün PC ve Laptoplar otomatik olarak 10 dakika içerisinde şifreli ekran korumasına geçebilmelidir.

b) Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. İşletim sistemi şifreleri aktif hale getirilmelidir.

c) Kurumda domain (çalışma alanı) yapısı varsa mutlaka login olunmalıdır. Bu durumda, domaine bağlı olmayan bilgisayarların yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.

d) Laptop bilgisayarın çalınması/kaybolması durumunda en kısa sürede Bilgi İşlem Birimi’ ne haber verilmelidir.

e) Bütün Cep Telefonu ve PDA (Personal Digital Assistant) cihazları kurumun ağı ile senkronize olsun veya olmasın şifreleri aktif halde olmalıdır. Kullanılmadığı durumlarda kablosuz erişim (Kızılötesi, Bluetooth, vs) özellikleri aktif halde olmamalıdır ve mümkünse anti virüs programları ile yeni nesil virüslere karşı korunmalıdır.

f) Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek, kuruma veya kişiye yönelik saldırılardan (Örneğin; elektronik bankacılık, hakaret-siyaset içerikli mail, kullanıcı bilgileri vs.) sistemin sahibi sorumludur.

g) Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışılmamalıdır.

h) Ağ güvenliğini (Örneğin; bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ trafiğini bozacak (packetsniffing, packetspoofing, denial of service vb.) eylemlere girişilmemelidir.

i) Port veya ağ taraması yapılmamalıdır.

j) Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. DOS saldırısı, port-network taraması vb. yapılmamalıdır.

k) Kurum bilgileri kurum dışından üçüncü kişilere iletilmemelidir.

I) Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.

m) Cihaz, yazılım ve veri izinsiz olarak kurum dışına çıkarılmamalıdır.

n) Kurumun kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (Dergi CD’leri veya internetten indirilen programlar vs.) kurmak ve kullanmak yasaktır.

o) Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.

p) Kurumsal veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, müdürlüğümüzün bu konudaki ilgili mevzuat hükümleri saklı kalmak kaydıyla elektronik veya kâğıt ortamında üçüncü kişi ve kurumlara verilemez.

q) Personel, kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin düzenli olarak farklı ortamlara (CD,DVD, USB, ExternalHard diskvb.) yedeklenmesinden ve bu yedeklerin korunmasından sorumludur.

r) Bilgi İşlem birimi tarafından atanan yetkili kişiler kullanıcıya haber vermeksizin yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel kişisel bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez.

s) Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı/ kopyalanmamalıdır.

t) Bilgisayarlar üzerinde resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulmamalıdır.

u) Kurumda Bilgi İşlem biriminin bilgisi olmadan Ağ Sisteminde (Web Hosting, E-posta Servisi vb.) sunucu niteliğinde bilgisayar ve cihaz bulundurulmamalıdır.

v) Birimlerde sorumlu Bilgi İşlem personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.

w) Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir.

x) Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.

y) Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle Bilgi İşlem Birimine haber verilmelidir.

z) E-posta gönderiminde konu alanı boş bir e-posta mesajı göndermemelidir.

İl Sağlık Müdürlüğü İstatistik ve Bilgi İşlem Birimi tarafından hazırlanan ve kullanıma sunulan Bilgi Güvenliği Kılavuzu ekte bulunan prosedürler kapsamında faaliyette bulunacaktır.