T.C. Anayasası ve kanunlar çerçevesinde yürütmekte olduğu iş ve
işlemlerin işleyen süreçlerinde ülke nüfusunun tamamı ile ilgili olan sağlık ve tüm alt
unsurları ile ilgili olarak doğum öncesinden ölüme kadar olan tüm süreçlerde çalışmakla
yükümlendirilmiş bir kurum olma hüviyeti ile ülkedeki her bir vatandaşa karşı
sorumlulukları olan kuruluşlardan birisidir.
Her bir vatandaşın sağlık kuruluşuna
müracaat ettiğinde en gizli ve mahrem sayılabilecek bilgilerine dair erişebilen
kaydedebilen yegâne kuruluştur.
T.C. Sağlık Bakanlığı hasta sıfatı ile bir bireyle muhatap olduğunda ve bireyin
herhangi bir verisini ve bilgisini kayıt altına aldığında, kayıt altına alınan bireye ait her
türlü veri ve bilginin kendisine emanet edilmiş bir değer olduğu düşüncesiyle kendisini
bu sorumluluğun yerine getirilmesinde mükellef olarak görmektedir.
T.C. Sağlık Bakanlığı kişi verilerinin ve bilgilerinin korunması ve güvenliği ile alakalı
her türlü “teknik idari ve hukuki yöntemi” kullanmak sureti ile emanetinde bulunan
tüm bilgi sistemleri kaynaklarını “bilgi güvenliği ana politikası çerçevesinde” korumakla
ve bu hususta tüm tedbirleri almakla yükümlü olduğunun bilincindedir.
Bilgi Güvenliği Politikaları Kılavuzu 8
Tüm teşkilatımızda üretilen bilginin de en üst seviyelerde güvenlik anlayışı içerisinde
korunması gerektiği bilinci ile hareket eden T.C. Sağlık Bakanlığı misyon ve vizyonuna
bağlı kalarak Bilgi Güvenliği konseptinin esasını oluşturan basılı ve elektronik ortamdaki
bilgilerin yasal mevzuat ışığında ve risk metotları kullanılarak “gizlilik, bütünlük ve
erişilebilirlik” ilkelerine göre yönetilmesi amacıyla;
•Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmek,
•Bilgi Güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
•Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri
yönetmek,
•Bilgi Güvenliği Yönetim Sistemini sürekli gözden geçirmek ve iyileştirmek,
•Bilgi Güvenliği farkındalığını artırmak için, teknik ve davranışsal yetkinlikleri
geliştirecek şekilde eğitimler gerçekleştirmek,
ana politikalar olarak öngörülmektedir.
Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz
tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi
teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten, insan
kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri
güvenliğine birçok konuyu da kapsar.
Bilgi güvenliği bilinçlendirme süreci kurum içinde en üst seviyeden en alt seviyeye
kadar çalışanların katılımını gerektirmektedir.
Kurum çalışanları, yüklenici firma
personeli, yarı zamanlı personel, stajyerler, diğer kurum çalışanları, ziyaretçiler, iş
ortaklarının çalışanları, destek alınan firmaların personeli, kısaca kurumun bilgi
varlıklarına erişim gereksinimi olan herkes kullanıcı kategorisine girmektedir.
Kullanıcılar, bilgi güvenliği bilinçlendirme sürecindeki en büyük ve önemli hedef
kitledir.
Kurum içindeki işler yürütülürken istemeden yapılan hataları ve bilgi sisteminde
oluşabilecek açıklıkları en aza indirmek onların elindedir.
Yöneticiler, bilgi güvenliği
bilinçlendirme ve eğitimi sürecinin gereklerine personelinin uymasını sağlamakla
sorumludurlar.
Başarılı ve etkin işleyen bir bilgi güvenliği bilinçlendirme süreci oluşturulabilmesi için
bu alandaki görev ve sorumlulukların açık ve net bir biçimde belirlenmesi
gerekmektedir.
Olgunlaşmış bir bilinçlendirme süreci, bu görev ve sorumlulukların
sahipleri tarafından doğru anlaşılması, bilinmesi ve uygulanması ile mümkündür.
Sonuç olarak Bilgi Güvenliği Politikasının amacı bilgi varlıklarını korumak, bilginin
ve verinin gizliliğini sağlamak, bütünlüğünü bozmaya çalışacak yetkisiz kişilerin
erişimine karşı korumak ve böylece Bakanlığımızın güvenini ve itibarını sarsacak
durumları bertaraf etmektir.