| 1. AMAÇ |
| Bu politikanın amacı, personelin tüm bilgi sistemleri uygulamalarında ve kurumsal e-posta hesaplarında kullanılacak olan parolaların üretilmesi, korunması, kullanılması ve değiştirilme sıklığı hakkında kurumsal bir standart oluşturmaktır. |
| 2. KAPSAM |
| T.C. Sağlık Bakanlığı ....................... Hastanesi Bilgi Güvenliği Politika metninde yer alan kapsam maddesinde belirlenmiş olan kapsamdır. |
| 3. TANIMLAR |
| Root, Administrator: Tam yetkili kullanıcı, sistem yöneticisi. |
| E-posta: İnternet üzerinden gönderilen elektronik mektup. |
| World Wide Web: Birbiriyle bağlantılı, internet üzerinde çalışan ve "www" ile başlayan adreslerdeki sayfaların görüntülenmesini sağlayan servistir. |
| 4. POLİTİKA METNİ |
| 4.1. Parola Yönetimi ve Kullanımı |
| 4.1.1.Kullanıcı hesaplarına ait parolalar (örnek: e-posta, web, masaüstü bilgisayar vs.) en geç 6 (altı) ayda bir değiştirilmelidir. |
| 4.1.2.Sistem yöneticileri, kendi yönetimindeki sistem ve kendi kullanıcı hesapları için farklı parolalar kullanmalıdır. |
| 4.1.3.Parolaların e-posta iletilerine veya herhangi bir elektronik forma eklenmesi yasaktır. |
| 4.1.4.Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda BGYS Birimi tarafından yapılan farkındalık eğitimleri ve farkındalık e-postaları ile düzenli aralıklarla bilgilendirilir. |
| 4.1.5.Kurum çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu yönergenin ilgili maddelerinde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır. |
| 4.1.6.Bütün parolalar ....................... hastanesine ait gizli bilgi niteliğindedir. Paylaşılamaz, kâğıtlara ya da elektronik ortamlara yazılamaz. |
| 4.1.7.Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup, kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir. |
| 4.1.8.Parola kırma ve tahmin etme operasyonları belli aralıklar ile güvenlik tatbikatlarında gerçekleştirilir. Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını değiştirmesi talep edilir. |
| 4.1.9 Kullanıcının son 3 parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenmelidir. |
| 4.2. Parola Politikası |
| 4.2.1. En az 8(sekiz) karakterli olmalıdır. |
| 4.2.2. İçerisinde en az 1(bir) tane büyük ve en az 1(bir) tane küçük harf bulunmalıdır. |
| 4.2.3. İçerisinde en az 1(bir) tane rakam bulunmalıdır. |
| 4.2.4. İçerisinde en az 1(bir) tane özel karakter bulunmalıdır. (@, !, ?, A, +, $, #, &, /, {, *, -, ], =, ...) |
| 4.2.5. Aynı karakterler peş peşe kullanılmamalıdır. (aaa, 111, XXX, ababab...) |
| 4.2.6. Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf, 1234, zxcvb...) |
| 4.2.7. Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır. |
| 4.2.8. Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, qwerty, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi) |
| 4.2.9.Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır. |
| 4.2.10.Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır. |
| 4.2.11.Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir. |
| 'B' yerine 8 | 'Z' yerine 2 | Örneğin Balıkçıl-Kazak 8a11kç11-Ka2ak Solaryum! 501aryum! |
| 'I', 'i', 'L', 'l' yerine 1 | 'O' harfi yerine 0 | |
| 'S' yerine 5 'G' yerine 6 | 'g' yerine 9 |
Basit bir cümle ya da ifade içerisindeki belirli kelimeler özel karakter veya rakamlarla değiştirilerek güçlü bir parola elde edilebilir. |
| 'T', 't' yerine '+' | 'Ş', 'ş' yerine '$' | Örneğin "Dün Kar Yağmış": Dün*Yağm1$ "Şeker gibi bir soru sordu": $eker~1?Sordu "Tek eksiğim bir güldü": 1- ğim1:)dü "Yüzeysel bir soru eşittir eksi puan": %eysel1?=-Puan |
| "kar", "yıldız" yerine '*' | "dolar", "para" yerine '$' | |
| "Soru" yerine '?' | "gibi" yerine '~' | |
| "gül" yerine ':)' | "eksi" yerine '-' | |
| "bir", "tek" yerine 1 | "yüz", "yüzde" yerine '%' |
| 5. YAPTIRIM |
| Bu politikanın ihlali durumunda, Bilgi Güvenliği Komisyonu ve ilgili yöneticinin onaylarıyla disipliner işlem yapılır. |