CEVAP:

Elektronik belgelerin erişim kontrolü ve güvenlik özelliklerine ilişkin temel noktalar aşağıda verilmiştir: • EBYS, kullanıcıların sisteme girişini kontrol altında tutabilmelidir. Bunu sağlamak amacıyla, her kullanıcıya sisteme girebilmesi için bir kullanıcı adı ve şifresi verilmelidir. Ayrıca kullanıcının sistem içindeki rolleri, ait olduğu kullanıcı grubu ve erişim haklarını gösteren kullanıcı profili tanımlanmalıdır. • Erişim haklarının tanımlanması, atanması ve değiştirilmesi gibi işlemler yalnızca sistem yöneticisinin yetkisinde olmalıdır. Kullanıcılar erişim hakkına sahip olmadıkları belgelere ne klasör hiyerarşisinden ne de arama fonksiyonu ile erişememelidir. • EBYS içinde, sistemde farklı konumlarda bulunan her kullanıcı için yönetici, kullanıcı vb. biçiminde bir fonksiyon tanımlanmalıdır. Sistemde kullanıcının fonksiyonu, kimlik ve şifre bilgileri ile erişim hakları gibi bilgiler kullanıcı profili bölümünde tutulmalıdır. Bu fonksiyon aynı zamanda kullanıcının EBYS içindeki rolünü de tanımlamaktadır. Kullanıcı profilleri üzerinde değişiklik işlemleri ve erişim haklarının değiştirilmesi yalnızca sistem yöneticisinin kontrolünde olmalıdır. Her kullanıcı kendi erişim hakkı ve daha düşük güvenlik seviyesindeki belgelere erişebilmelidir. • EBYS, kullanıcıların sistem içindeki fonksiyonlarını belirleyici nitelikte roller tanımlayabilmelidir. Bu roller kullanıcıların erişim haklarını düzenleyici nitelikte olacaktır. Bu rollerin neler olacağı kurumların hiyerarşik yapısına göre değişebilir. Bununla birlikte yaygın olarak kullanılan roller sistem yöneticisi, elektronik belge yöneticisi, arşivci, kullanıcı ve üretici biçimindedir. • Her kullanıcı için en az bir rol tanımlanmış olmalıdır. EBYS fonksiyonları sisteme giriş yapan kullanıcı yetkisine göre düzenlenmelidir. Kullanıcının yetkisinden olmayan fonksiyonlar gizlenmelidir. • EBYS kullanıcı grupları tanımlamaya uygun olmalıdır. Bu gruplardan bazıları şunlar olabilir: Fonksiyonel gruplar: Aynı birimde çalışan benzer fonksiyonları gerçekleştiren kişilerden oluşan gruplar. Yönetici gruplar: İdari olarak yönetici sorumluluğu bulunun kişilerden oluşan gruplar. Proje grupları: Belli projeleri gerçekleştirmek için belirli zaman dilimlerinde bir araya getirilmiş kişilerden oluşan gruplar. Bir kişi aynı anda birden fazla grubun üyesi olabilir. Gruplara yeni kişilerin eklenmesi veya mevcut kişilerden birinin gruptan çıkarılması mümkün olmalıdır. Ancak bu işlem kayıt altına alınmalıdır. Denetim açısından EBYS otomatik olarak bir günlük tutabilmelidir. Bu günlük sistemdeki kullanıcı aktivitelerinin kayıt altına alınmasını sağlamalıdır. Günlükte asgari olarak şu bilgiler tutulmalıdır: • Gerçekleştirilen aktivitenin ne olduğu (kayıt ekleme, değiştirme, arama vb.) • İşlemin hangi EBYS kullanıcı rolü üzerinden gerçekleştirildiği • İşlemin kim tarafından gerçekleştirildiği • İşlemin gerçekleştirildiği tarih ve saat Günlük dosyasında yer alan bilgiler sistem yöneticisi dahil hiç kimse tarafından değiştirilemeyecek veya silinemeyecek şekilde korunmalıdır.