Bilgi Güvenliği Politikası
Bilgi Güvenliği Politikası
INTEGRO SAĞLIK HİZMETLERİ VE BİLİŞİM TEKNOLOJİLERİ TİC. A.Ş.
|
Organizasyon / Yetkili Birim |
Bilgi Güvenliği Yönetim Sistemleri Ekibi |
|
Politika sürümü |
v.1 |
|
Yürürlük tarihi |
01.01.2023 |
|
İnceleme tarihi |
01.02.2023 |
|
İşbu Politika hakkında sorular için iletişim bilgisi: |
Amaç ve Kapsam
İşbu Bilgi Güvenliği Politikası ("Politika"), INTEGRO Sağlık Hizmetleri ve Bilişim Teknolojileri Ticaret Anonim Şirketi ("IntegroHealth") bünyesindeki Bilgi Teknolojileri hizmetlerin güvenli ve uygun şekilde kullanılmasına yönelik güvenlik gerekliliklerini açıklamaktadır. Bu Politika'nın amacı, IntegroHealth'i ve kullanıcılarını, bütünlüğü, gizliliği, itibarı veya ticari süreçleri tehlikeye atabilecek nitelikte güvenlik tehditlerine karşı korumaktır.
İşbu belge, geçici kullanıcılar, hizmetlere geçici erişimi bulunan ziyaretçiler ve hizmetlere sınırlı veya sınırsız erişimi bulunan ortaklar dahil, IntegroHealth'deki tüm kullanıcılara uygulanmaktadır.
‘Bilgi’ bulunduğu ortama veya formata bakılmaksızın (fiziksel ve elektronik kayıtlar dahil) her türlü belgeyi, veriyi (kişisel veri dahil), içeriği, bilgi veya nesneyi ifade eder.
IntegroHealth'in işlevleri ve faaliyetlerinin sonucu olarak ürettiği veya eriştiği bilgiler, IntegroHealth'in hukuki, ticari veya idari gerekliliklerine ilişkin değerli bir kaynak olup IntegroHealth'in önemli ticari varlıklarını/aktiflerini teşkil eder.
Bilgi Güvenliğine İlişkin Sorumluluklar
Bilgi güvenliğine yönelik nihai sorumluluk IntegroHealth'nın kalite birimine aittir. Ancak, gündelik olarak Politika ve ilgili prosedürlerin yönetimi ve uygulanmasından IntegroHealth sorumlu olacaktır.
Yöneticiler, daimi ve geçici personelin ve yüklenicilerin:
- İş alanları için uygulanabilir bilgi güvenliği politikaları
- Bilgi güvenliğine yönelik kişisel sorumlulukları
- Bilgi güvenliğine ilişkin hususlarda ne şekilde görüş alabilecekleri
hususlarında bilgi sahibi olduklarından emin olmalıdır.
Tüm çalışanlar gizliliğin ve veri bütünlüğünün sağlanması dahil tüm bilgi güvenliği prosedürlerine uymakla yükümlüdür. Bu prosedürlere uyulmaması halinde ilgili çalışanlar hakkında disiplin tedbirleri uygulanabilecektir.
Her bir çalışan kullanmakta oldukları bilgi sistemlerinin operasyonel güvenliğinden sorumludur.
Her sistem kullanıcısı, yürürlükte olan gizlilik gerekliliklerine uymakla yükümlü olup kullandıkları bilgilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin en yüksek standartta korunduğundan emin olmalıdır.
Güvenlik Yönetimi
IntegroHealth'in kalite sorumlusu güvenlik gerekliliklerini uygulamak, denetlemek, belgelemek ve bu hususta gerekli iletişimi sürdürmekle yükümlüdür.
Bilgi güvenliği farkındalık eğitimleri, işe alım ve işe alıştırma süreçlerine dahil edilmelidir.
Mevcut farkındalık programları, gerekli olduğu ölçüde çalışan farkındalığının tazelenmesi ve güncellenmesi sağlanacak şekilde oluşturulacak ve sürdürülecektir.
Personel güvenlik gereklilikleri, işe alım süreçlerinde de ele alınmalı ve tüm iş sözleşmeleri gizlilik maddesi içermelidir.
Personele yönelik bilgi güvenliği beklentileri de uygun iş tanımlarına dahil edilmelidir.
Bilgi sistemlerine veya depolanan verileri içeren kısıtlı bölgelere erişim, yalnızca haklı ve ilgili birimlerce onaylanmış bir iş gereksinimi bulunan yetkili personele sağlanmalıdır.
Bilgisayar olanaklarına erişim yalnızca bu olanakları kullanmak yönünde bir iş gereksinimi bulunan yetkili kullanıcılarla sınırlı tutulmalıdır.
Verilere, sistem yardımcı yazılımlarına ve kaynak program kütüphanesin erişim yalnızca meşru bir iş gereksinimi bulunan yetkili kullanıcılar ile (örn. sistem veya veri tabanı yöneticilerine) sınırlı tutulmalı ve bu kişilerce kontrol edilmelidir. Herhangi bir uygulamayı kullanma yetkisi, ilgili tedarikçi tarafından verilen lisansın geçerliliğine bağlıdır.
Tüm ticari varlıkların kaybını veya bu varlıklara gelebilecek zararları en aza indirmek amacıyla, ekipmanlar fiziksel olarak her türlü tehditten ve çevresel tehlikelerden korunmalıdır.
Bilgisayarların ve internet ağların yönetimi, standart belgelenmiş prosedürler vasıtasıyla kontrol edilecektir.
Bilgi güvenliği riskleri tespit edildikten sonra resmi şekilde yönetilecektir. Tespit edilen hususlar bir temel risk kayıt sistemine kaydedilecek ve bu risklerin efektif yönetimi için gerekli aksiyon planları yürürlüğe konacaktır.
Risk kayıt sistemi ve tüm bağlantılı aksiyon kalemleri düzenli aralıklarla gözden geçirilmelidir. Uygulanan her türlü bilgi güvenliği düzenlemesi ayrıca IntegroHealth'in risk yönetimi programının düzenli olarak gözden geçirilen bir özelliğini teşkil etmektedir. Yapılan incelemeler iyi uygulamaların devamlılığının sağlanması ve olası güvenlik zafiyetleri ile bir önceki incelemenin tamamlanmasından itibaren ortaya çıkabilecek potansiyel risklerin tespit edilmesinde yardımcı olacaktır.
Tüm bilgi güvenliği ihlalleri ve şüphelenilen güvenlik zafiyetleri Bilgi Teknolojileri birimine bildirilecektir. Tüm bilgi güvenliği ihlalleri, benzer ihlallerin ortaya çıkmasını önlemek amacıyla ihlalin nedenlerini ve etkilerini belirlemek amacıyla soruşturulacaktır.
IntegroHealth, kötü amaçlı yazılımlara karşı korunmak için karşı tedbir amaçlı yazılımlar ve yönetim prosedürleri kullanacaktır. Tüm personel, işbu politika kapsamında işbirliği içinde hareket etmesi beklenmektedir. Kullanıcılar Bilgi Teknolojileri biriminin onayı olmaksızın IntegroHealth'in sistemlerine yazılım yüklemeyecektir. Bu yükümlülüğü ihlal eden kullanıcılar hakkında disiplin tedbirleri uygulanabilecektir.
Sistem erişimi ve personel tarafından kullanılan verilerin kullanımın denetim izi muhafaza edilecek ve düzenli aralıklarla gözden geçirilecektir.
Bilgi sistemlerinde, uygulamalarında veya internet ağlarında yapılacak değişiklikler Bilgi Teknolojileri birimi tarafından incelenmeli ve onaylanmalıdır.
IntegroHealth, tüm bilgi teknolojileri ürün ve hizmetlerinin uygun şekilde lisanslı olduğundan emin olmalıdır. Kullanıcılar Bilgi Teknolojileri biriminin onayı olmaksızın IntegroHealth'in sistemlerine yazılım yüklemeyecektir. Bu yükümlülüğü ihlal eden kullanıcılar hakkında disiplin tedbirleri uygulanabilecektir.
Bu Politika, IntegroHealth tarafından hazırlanan ve yürürlüğe konan kılavuz, politika ve yardımcı dokümanlar ışığında uygulanmaktadır. Bu kapsamda aşağıda sayılan dokümanlar başta olmak üzere IntegroHealth için uygulanması kararlaştırılan politika ve belgelerin ilgili personel tarafından incelenmesi gerekmektedir: