Bilgi Güvenliği
08 Nisan 2022

1. AMAÇ: Hastanemizden hizmet almak için başvuran hastalara ve tüm kurum

çalışanlarına, ait bilgilerin doğru olarak toplanmasını, iletilmesini, depolanmasını ve

kullanılmasını sağlamak. Hasta ve çalışanlara ait bilgileri, güvenliği sağlanmış bilgisayar

sisteminde ve arşivlerde uygun koşullarda muhafaza ederek bilgi güvenliğini sağlamaktır.

2. KAPSAM: Bu talimat, kurum Bilgi İşlem altyapısını kullanmakta olan tüm birimleri,

üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek

sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

3. SORUMLULAR: Başhekim, İdari ve Mali Hizmetler Müdürü, Hastane Bilgi İşlem Sorumlusu, HBYS Firması Sorumlusu, Hastane Bilgi Yönetimi Sistemini kullanan tüm çalışanlar.

4. UYGULAMA:

4.1. Tüm hasta bilgilerinin girişi HBYS’nde tanımlanan alanlara yapılmaktadır.

4.2. Hasta bilgilerinin güvenliği için tüm kullanıcılar için her kademede yetkilendirme yapılmalı ve kontrol edilmelidir.

4.3 Her kademedeki Hastane personeli ancak yetkilendirilmiş olduğu işlemleri, diğer

Hastane prosedürlerine uygun olarak uygular.

4.4. Sunucu üzerindeki her türlü yazılım, işletim sistemi, veritabanı, Yazılım Firması elemanları tarafından, Bilgi İşlem Bölümü denetiminde yapılır.

4.5. İnternet erişim yazılımlarının kurulması ve ayarları Hastane Bilgi İşlem Bölümünün yetkisinde olacaktır.

4.5. Veri yedekleme işlemi bilgi işlem işletimini yapan firma elemanlarınca Bilgi İşlem Yedek Alma Talimatına göre yapılmaktadır.

4.6. Hastalarımıza ait bilgilerin güvenliği açısından Hastanemiz sistem ve internet altyapısı en güvenilir seviyede tutularak gerekli önlemler alınmıştır.

4.7. Kişilere ait bilgilerin güvenliğinin sağlanması için öncelikle verilerin doğru olarak toplanması, depolanması ve kullanılmasına ilişkin uygulamalarımızın ve güvenlik önlemlerimizin dâhili olarak gözden geçirilmesi ve kişisel verileri depoladığımız sistemleri yetkisiz erişime karşı korumak için fiziksel güvenlik önlemlerinin alınmasını içerir.

4.8. Kişisel bilgilere erişim hizmetlerimizi işletmek, geliştirmek ve iyileştirmek için onları bilmeleri gereken hastane çalışanları, yüklenicileri ve aracılarıyla sınırlı tutulur. Bu bireyler gizliliği koruma yükümlülükleri altında çalışırlar.

4.9. Hastanemizde hasta ile ilgili bilgilerin bütünlüğü ve güvenliği kurulmuş olan bilgisayar yazılım programlarında yetkilendirilmiş girişler ile korumaya alınmıştır.Elektronik ortamdaki verilerin güvenliği sağlanmaktadır.

4.10. Hasta bilgilerine yetkili olmayan kişilerin ulaşımına / kullanımına izin verilmemektedir

4.11. Hastanemizde internet erişimi ve kullanımı Başhekim tarafından onay verilen bilgisayarlarda kullanılmaktadır. Bunun haricinde tüm PC’lerden resmi sitelere erişim sağlanmaktadır. E-posta kullanımı sadece idari personeller resmi e-postaları kullanabilirler.

İnternet erişimi ve e-posta kullanım bağlantıları hastanemizde bulunan firewall cihazı tarafından kontrol edilmektedir.

4.12. Her yetkili kullanıcı kendi şifresi ile işlem yapar. Başkalarına şifresini söylememeli görünür, ulaşılabilir alanlara yazılı olarak bırakılmamalıdır.

4.13. Güvenli bir bilgi sistemine erişmek için yetkisiz bir kullanıcıdan yardım istenmemelidir.

4.14. Başka bir kişinin kullanıcı kimliği, parola veya diğer güvenlik kodları kullanılmamalıdır.

4.15. Çalışanlar gizliliği koruma yükümlülükleri altında çalışırlar

4.16. Kullanıcı yetkisi olan yetkili çalışanlar, bilgisayar kullanımı bitince, odadan ayrıldığında, mesai ve nöbet bitiminde şifresini kapatmalıdır. Kişinin çalışmadığı veya bulunmadığı zamanlarda şifresi kullanılarak yapılan işlemlerden kurum sorumlu değildir.

4.17. Sisteme erişim kontrolü ilgili başhekim yardımcısı ve bilgi işlem sorumlusu tarafından kişilerin yetki ve sorumlulukları dikkate alınarak düzenlenir. Bu şartlar uzaktan erişim içinde geçerlidir. Sistemde herhangi bir arıza durumunda HBYS firması tarafından uzaktan bakım için bağlantı verilir. Bu bağlantı ekstra programlar aracığı ile yapılır ve her bağlantıdan sonra program kapatılır.

4.18. Sisteme erişim ve yetkilendirme sağlık bakanlığı tarafından belirlenmiş olan esaslara göre düzenlenir (yöneticiler için bilgi güvenliği politikası).

4.19. Birimden sorumlu başhekim yardımcısı ve ilgili teknik personelin bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vb. üzerinde mevcut yapılan düzenlemelerin hiçbir suretle değiştirilemez.

4.20. Bilgisayarlar üzerinden resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulamaz

4.21. Bakanlığın bilgi güvenliği politikası gereği domain yapısı oluşturulmuş, tüm bilgisayarlar domain yapısına login durumda çalışmaktadır. Domaine bağlı olmayan bilgisayarlar yerel ağdan çıkarılmış, yerel ağdaki cihazlar arasında bilgi alışverişi yapılmamaktadır.

4.22. Virüs ve saldırganlardan korunma :

* Korunma sorumluluğu ilgili başhekim ve bilgi işlem sorumlusuna aittir.

* İlgililer virüs ve saldırganlardan korunma için gerekli donanım ve yazılımı üst yönetime bildirip gerekli tedbirleri alır.

* Bu tedbirler içinde anti virüs yazılımları ve firewall gibi donanımsal ve yazılımsal aparatları içeren sağlık bakanlığınca istenen asgari şartlardan oluşur.

* Bu yazılımların güncellenmesini de yapmak yukarda belirtilen ilgilileri sorumluluğundadır, zamanı geldiğinde üst yönetimin haberdar ederek güncellemeleri yaparlar.

5. İLGİLİ DOKÜMANLAR :

5.1 Bilgi İşlem Yedek Alma Talimatına

5.2 T.C. Sağlık Bakanlığı yöneticiler için bilgi güvenliği politikası

5.3 Bilgi Sistemleri Veri Güvenliği Talimatı