Bilgi Güvenliği Politikası
15 Mart 2024



1.BİLGİ YÖNETİM SİSTEMİNİN AMAÇ VE KAPSAMI:

AMAÇ: Sağlık hizmetinden faydalanan vatandaşların kayıt altına alınan her türlü bilgisini, kendisine emanet olarak kabul etmenin ve korumanın bilinciyle hareket ederek, bu suretle gerçekleştirilen faaliyetlerin ifasını, verilen hizmetin etkin, güvenilir ve kesintisiz bir şekilde yürütülmesi, edinilen bilgilerin bütünlüğünün, tutarlığının, güvenirliliğinin sağlanması için uygun bilgi sistemleri ortamının tesis edilmesi, bu bilgi sistemlerinin kullanılmasından kaynaklanacak risklerin kontrol edilmesi ve tüm hususlarda gerekli tedbirlerin alınmasını sağlamaktır.

KAPSAM: Verilerin ve kaynakların gizliliğini, bütünlüğünü ve kullanabilirliliğini sağlamak için bilgisayar kaynaklarına erişebilen herkesin uyması gereken asgari kuralları, prosedürleri, görev ve sorumlulukları kapsamasıyla birlikte,

Veri dosyaları, sözleşmeler vb. den oluşan bilgi varlıkları,

Uygulama yazılımları, sistem yazılımları ve hizmetlerden oluşan yazılım varlıkları,

Yönlendirici cihazları, güvenlik cihazları, sistem yönetim sunucuları, yasal yükümlülükler kapsamında kurulmuş sunucu sistemleri, bilgisayarlar, iletişim donanımı ve veri depolama ortamlarını içeren fiziksel varlıklar,

Tüm işlevlerin yerine getirilmesi ile ilgili aydınlatma, iklimlendirme, kablolama gibi unsurlardan oluşan hizmet varlıkları,

Kapsamdaki faaliyetlerin yürütülmesini sağlayan insan kaynakları varlıklarını kapsamaktadır.

2.BİLGİ GÜVENLİĞİ:

Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği; bilgiyi, yetkisiz kişilerin görmesinden, değiştirmesinden, bilgilerin silinmesinden korumaktadır. Bilgi güvenliği, kurumlarda bilişim sistemlerinin kullanılmasıyla daha önemli hale gelmiştir. Bilgi saklama ortamları olarak çoğunlukla kâğıt kullanıldığı zamanlarda güvenlik önlemleri olarak fiziksel güvenlik önlemlerine ağırlık verilmiş, ancak, gelişen teknolojiler kullanılarak bilgilerin dijital ortamlarda, veritabanlarında, CD, Çıkarılabilir Disk gibi saklama ortamlarında kullanıcısının 24 saat erişebileceği şekilde saklanması gündeme geldiğinde fiziksel güvenlik önlemleri yetersiz kalmaya başlamıştır. Gerek bilişim sistemlerinin bağlantı ihtiyaçları sonucunda Internet erişimleri nedeniyle dünya üzerindeki birçok saldırganın tehdit oluşturması, gerekse iç kullanıcıların bilinçli veya bilinçsiz olarak bilgi güvenliğinde açıklıklara neden olması, kurumlarda bilgi güvenliğine olan ihtiyacı gün geçtikçe daha fazla artırmaktadır. Bilgi güvenliğine duyulan ihtiyaçla birlikte, güvenliğin sağlanması için bilinçli personel barındırmak ve güvenlik sürecinin işletilmesi için yeterli doküman ve yöntemlerin oluşturulması da bir zorunluluk olmuştur.

Bilgi güvenliği, bu politikada aşağıdakilerin korunması olarak tanımlanır:

vGizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek;

vBütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek;

vErişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.

Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.

2.1. Sunucuların Güvenliği:
- Sunuculara tahsis edilmiş bir bağımsız oda bulunmaktadır.
- Oda kilit altında bilgi işlem sorumlusu kontrolündedir.. Görevlendirme olmayan personelbu odaya girememektedir.
- Oda hastanenin Zemin katında bulunmaktadır. Oda içinde su tesisatı bulunmamaktadır.Sunucular su basması riskine karşı yükseltilmiştir.
- Sunucu Odalarında elektrik kesilmesi durumunda odada bulunan bağımsız UPS devreyegirmektedir. Hastane genelinde bulunan UPS bu odadaki bağımsız UPS yidesteklemektedir.
- Isı ve nem takibi yapılarak sıcaklık ve nem takip formu kayıt edilmektedir.(Sıcaklık 18-22°C,Nem %30-%50 arasında bulunmaktadır)
- Bütün sunucuların yeri,sorumlu kişisi,donanımı ve işletim sistemi üzerinde çalışılanuygulama bilgileri liste halinde bilgi işlem biriminde ve kalite biriminde bulunmaktadır.
2.2. Yedekleme:
- Yedekleme harici bellek, ağ üzerinde çalışan bilgi işlem merkezinde 1 adet PC,sunucunun kendi üzerinde yedeklenmektedir.
2.3. Kişisel Sağlık kayıtların güvenliği:
Kullanıcılar, hasta ile ilgili bilgileri girilir, muayene ve reçete girildikten sonra hasta kaydıkapanır. Tekrar kullanıcılar bilgileri değiştiremez. Kişisel bilgiler kişinin kendisi veya mahkemetarafından istenildiği takdirde verilir.
2.4. İnternet erişim ve kullanım: İnternet erişimi idari birimler, bilgi işlem ve polikliniklerolarak 3 ayrıldı. İdari birimler resmi site ve haber kaynaklı siteler dışı kapalıdır.(Tümfiltrelemeler alizer cihazında logları kayıt altında tutulmaktadır.)Tüm loglar izlenebilirdurumdadır. Bilgi işlem Tüm sitelere açıktır. Poliklinikler resmi siteler ve haber siteler dışı tümsitelere erişim kapalıdır.
2.5. E-Posta Kullanım: İdari birimler e posta gelen ve giden olarak kullanabilir, diğerbirimlere kapalıdır.
2.6. Uzaktan Erişim: Dış ortamdan iç ortama hangi durumlarda bağlanacağını belirten ilgilifirma ile hastane idaresi arasında gizlilik sözleşmesi bulunmaktadır. Dış ortamdan bağlanıldığıdurumlar kayıt altına alınmaktadır.
2.7. Kablosuz erişim: Hastanenin bazı bölüm ve birimlerinde mevcut olup artırma vekapsamı genişletme çalışmaları devam etmektedir.
- Hastane bölümlerinde çalışan tüm personelin otomasyon sistemine girdiği, kullanıcıkodu ve parolası md5 metodu kullanılarak şifreli şekilde veri tabanında tutulmaktadır.

- Her kullanıcının yetkileri otomasyon üzerinden birim yöneticisi tarafından onaylanarak belirlenir.
- Hastane içinde içeriği hasta mahremiyetini etkileyecek olan bilgiler otomasyon sisteminde yetkilendirilip, bilgi işlem personeli dahil kimseye gösterilmez. Yalnızca başhekimliğin onay verdiği kullanıcılara görme yetkisi verilir.
- Kullanıcıların sisteme kaydettiği nitelikli hizmetlerin hiçbiri yönetim onayı olmadan, bilgi işlem personeli haricinde hiçbir personel tarafından silinemez.
- Gün içerisinde otomasyon sistemine girilen tüm işlemler (Sekreter, hemşire, doktor) tümü gün sonunda saat 23:30’da yedekleme işlemi otomatik olarak başlamaktadır.
- Personele ait özlük bilgileri ise yalnızca İnsan Kaynakları personeli tarafından görülüp, yetkileri yönetim tarafından belirlenir. Yetkili personel dışında kimse personel özlük bilgilerine erişemez.
- Gün içerisinde hastane internet ağına bağlı olan tüm bilgisayarların hangi zamanda, hangi internet sitesine bağlandığını, ne kadar süreyle o sayfada kaldığı gibi tüm bilgiler hastane fiziksel güvenlik duvarında yedeklenip log’ları kayıt altına alınmalıdır.

3.BİLGİ YÖNETİM SİSTEMİNİ OLUŞTURAN ALT SİSTEMLER:

Bilişim ve iletişim teknolojisinin gelişimi hayatımızın her alanını ve aşamasını şekillendirmeye devam
etmektedir. Sağlık hizmetlerinin ve bu hizmetlerin kalitesinin bu gelişimden etkilenmemesi mümkün değildir. Her organizasyon gibi sağlık sistemi içinde yer alan paydaşlarında verilen hizmetlerin kalitesini arttırmak suretiyle varlıklarını sürdürme refleksi göstermeleri doğaldır. Bu nedenle her organizasyon kendisinden talep edilen hizmet kalitesini karşılamak üzere bilişim teknolojilerini bünyesine katmakta kendisi için gerekli olan yaşamsal fonksiyonları maliyet performans ölçütleri doğrultusunda yeniden yapılandırmaktadır. Bu aşamada bilgi yönetim sisteminde bilişim teknolojilerinin olmaması düşünülemez. Hastanemiz bilgi yönetim sistemi süreçlerine İlişkin politika olarak bilişim teknolojilerine maliyet performans ölçütleri doğrultusunda en hızlı şekilde uyum sağlamaktır.
3.1. Network Donanım Cihazlarının;
- Ana omurgayı (Merkez Switch) taşıyan cihazın, değişen şartlar ve ihtiyaçlardoğrultusunda yapılandırmasını yapar.
- Ağ cihaz ve yazılımlarını kurar, internet ve intranet bağlantılarını yönetir.
- Kenar switch cihazlarının, değişen şartlar ve ihtiyaçlar doğrultusunda yapılandırmasınıyapar.
- Routerların, değişen şartlar ve ihtiyaçlar doğrultusunda yapılandırmasını yapar.
- Güvenlik cihazlarının, değişen şartlar ve ihtiyaçlar doğrultusunda yapılandırmasınıyapar.
- Kablolu (ADSL, GSHDSL, Metro Ethernet) ve kablosuz iletişim cihazlarının (wirelesscihazlar, Optik Laser Hat, Wimax..) iletişim cihazlarının yapılandırılmalarını, yönetiminigerçekleştirir.
- Bilgisayar sistemlerinin fiziksel güvenliğinin ötesinde yazılımsal güvenlini de sağlamak.
- Elektronik ortamda sisteme olabilecek saldırıları (virus, worm, rootkit, backdoor, trojan,hacker keyloger, spyware v.b.) engellemek,
- Sistem odasındaki cihazların bakım ve onarımlarını yapar/yaptırır.
- Tüm bilgisayar sisteminin sağlıklı çalışmasını sağlayan antivirus sunucularını, kurar,günceller, bakımını yapar, sistemin virüs saldırıları nedeni ile kesintiye uğramaması içintedbirler alır. Yeni çıkan virüslere yönelik güncelleştirmeleri sisteme yükler.
- Tüm bilgisayarların donanımsal ve yazılımsal arızalarını giderir. Son çıkan güncellemeleritakip eder ve hastane sistemindeki tüm bilgisayarlara yükler.

3.2. İnternet Bağlantılarının;
- Hastanenin internet Bağlantısını yönetir, izler yetkili kullanıcıların internete erişimineizin verir.
- Firewall cihazının yönetimini yapar, IP, port, yetkilendirmesi, erişim kontrol listelerinintanımlanmasını yapar VPN (sanal Özel Ağ) yapısını yönetir.
- Filtreleme cihazı aracılığı ile uygun olmayan içeriğe ulaşımı engeller, zararlı sitelerinkullanıcı bilgisayarlarını bozmasına engel olur. Yeni çıkan zararlı siteleri cihazgüncellemeleriyle engeller.
- Internet kullanıcılarının hastane web sitesine ulaşmasını, Web Sunucusunun güvenlibiçimde internet üzerinden internet yayını yapmasını sağlar.
- Elektronik posta sunucusunu kurar, işletir, kurum kullanıcılarının e-posta alıpgöndermesini sağlar.
- Kurumsal kullanıcıların kendilerine verilen yetkilendirmeler dâhilinde sistem kaynaklarınıkullanmasına izin verir.
3.3.İşletim Sistemlerinin;
- Yazılım güncellemelerini izlerler.
- İşletim sistemlerinin güvenlik ayarlarını yaparlar.
- İşletim sistemlerinin üzerinde çalıştığı fiziksel sunucuların çalışma düzenini kontrolederler.
- Donanım kaynaklarının (Diski, Ram, Kontrol Kartları, Güç Kaynakları, İşlemciler)çalışırlığını izler ve kontrol ederler.
3.4.Veritabanlarının;
- Veri tabanın performansını izlerler.
- Veri tabanının bakımını gerçekleştirir.
- Yedeklerinin alınmasını sağlar ve/veya gerçekleştirirler.
- Yedek alma ve arşivleme işlemi depolama cihazlarını ve kotaları yönetir,
- İlgili sistemlerde bulunan verilerin yedeğini uygun periyotlar da alır.
- Programlar her veri güncellemesinde yedeklenir arşivlenir.
- Yedekleme cihazlarını izler,
- Yedekleri güvenli yerlerde saklar.
- Belirli aralıklarla veri arşivleme çalışması yapar. Güvenli yerlerde muhafaza eder.
3.5.Yazılım Geliştirme
- Kurumsal kullanıcılardan gelen hastane hizmetlerine yönelik yazılım taleplerinideğerlendirmek.
- Bilgi işlem müdürlüğünce onaylanan yazılım talepleri ile analiz çalışmalarını yapmak.
- Programın çalışması için gerekli kaynakları belirlemek ve bildirmek.
- Veri tabanı belirlenir. Yazılım geliştirme dili seçilir.
- Analiz çalışmalarına dayalı olarak temel fonksiyonların yazımı gerçekleştirilir, menülerinyazılımına başlanır.
- Programın yazılımı sonrasında çalışma testleri yapılır. Testler sonrasında çıkan buglerdüzeltilir.
- Son kontroller sonrasında veri tabanındaki test verileri silinir, programı yönetecek kişiiçin kullanıcı tanımlamaları yapılır. Program devreye alınır.
- Programın devreye alınması sonrasında program kullanıcılarından gelen programla ilgilisorunlar giderilir, kullanıcılara teknik destek verilir.
- Programın görsel tasarımı kurumsal kimlik standartlarına uygun olarak tasarlanır.
3.6.Web Uygulamaları ve Web Tasarım Çalışmaları
- Web uygulamaları geliştirme çalışmaları yapılır.

- Yazılım geliştirme sürecinde tanımlanan temel onay analiz ve ön çalışmalar yapılır.
- Uygulamaların intranet ya da internet uygulaması olması durumuna göre web sunumu, sistem yönetimi tarafından tahsis edilir, gerekli ağ ve güvenlik ayarları yapılır.
- Birimlerden gelen, duyuru, birim faaliyetleri, spor etkinlikleri, kültürel etkinlikler, yönetim kararları vb. hastane web sitesinden yayınlanması amacıyla gerekli görüşme, kodlama ve tasarım çalışmaları yapmak.
- Hastane sitesinde kullanılacak görsel materyalleri temin etmek, üretmek ve kurumsal kimliğe uyumlu olarak sitede kullanmak.
- Temin edilen materyalleri fish animasyon, ikon, buton üretmek
- Kurumsal e-hastanecilik uygulamalarının web sitesi içinde uyumlu biçimde çalışması için kodlama ve görsel tasarım çalışmaları yapmak(e-sonuç, e-randevu, e-kütüphane, yerleşim haritası, hastane bilgi sistemi)
- Hastane web sitesi alt uygulamalarını geliştirmek ve yönetmek( istek, şikâyet, bilgi edinme, performans programı, stratejik plan, hizmetlerimiz)

- Yazılım geliştirme sürecinde tanımlanan temel onay analiz ve ön çalışmalar yapılır.
- Uygulamaların intranet ya da internet uygulaması olması durumuna göre web sunumu, sistem yönetimi tarafından tahsis edilir, gerekli ağ ve güvenlik ayarları yapılır.
- Birimlerden gelen, duyuru, birim faaliyetleri, spor etkinlikleri, kültürel etkinlikler, yönetim kararları vb. hastane web sitesinden yayınlanması amacıyla gerekli görüşme, kodlama ve tasarım çalışmaları yapmak.
- Hastane sitesinde kullanılacak görsel materyalleri temin etmek, üretmek ve kurumsal kimliğe uyumlu olarak sitede kullanmak.
- Temin edilen materyalleri fish animasyon, ikon, buton üretmek
- Kurumsal e-hastanecilik uygulamalarının web sitesi içinde uyumlu biçimde çalışması için kodlama ve görsel tasarım çalışmaları yapmak(e-sonuç, e-randevu, e-kütüphane, yerleşim haritası, hastane bilgi sistemi)
- Hastane web sitesi alt uygulamalarını geliştirmek ve yönetmek( istek, şikâyet, bilgi edinme, performans programı, stratejik plan, hizmetlerimiz)

4. SBYS İŞLETİMİ VE DEĞİŞİKLİK YÖNETİM SÜREÇLERİ:

4.1.İşletim Prosedürleri

Kurum içi donanım ve uygulamaların işletim prosedürleri hazırlanmalı ve aşağıdaki hususlara uyulmalıdır:

- Yazılı prosedürler ihtiyaç duyulduğunda BGYS Yöneticisi tarafından hazırlanır ve BGYS sorumlusu tarafından onaylanarak geçerlilik kazanmalıdır.

- Onaylı olmayan işletim prosedürleri geçersizdir.

-Kurum genelinde tüm kritik işletim prosedürleri yazılı olarak bulunur ve ihtiyaç duyulduğunda  sürekli erişilebilen ortamlarda yayınlanır (web, basılı doküman, vs.).

- Prosedürlerin süreklilikleri atanmış sahipleri tarafından kontrol edilmeli, değişen işletim talimatları prosedürlere yansıtılmalıdır.

4.2.Olay Yönetimi Prosedürleri

- Herhangi bir güvenlik olayı başlangıcında, sırasında ve sonrasında yapılması gereken adımları içeren    Y-BG.AŞ.T.01-YG uygulanmalıdır.

- Bilgi güvenliği ihlal olayı olarak değerlendirilen her durum için düzeltici önleyici faaliyet formu oluşturulmalı ve yardım masası ortamına kayıt açılmalıdır.

- Belirlenen eksiklikler tamamlanarak olayların tekrar gerçekleşmesinin önüne geçilmelidir.

4.3.Geliştirme, Test ve İşletim Sistemlerinin Ayrılması

Geliştirme, işletim ve test sistemleri birbirinden fiziksel olarak ayrılmalı, her bir sistem için ayrı cihazlar tahsis edilmelidir. Ayrıca her bir sistem için sorumlu personel atanmalıdır.

4.4.Sistem Planlama ve Genişletme

Varlık envanterinde kaydı bulunan her türlü varlık performans ve yeterlilik kapsamında yardımcı programlar vasıtasıyla, sürekli gözden geçirilmeli. Yetersizlik veya ihtiyaç durumlarında değişim planlaması yapılarak satın alma süreci başlatılmalıdır.

4.5.Kötü Niyetli Yazılımlara Karşı Korunma

Kurum genelinde kötü niyetli yazılımlara karşı gerekli korunma önlemleri alınmakta ve altyapı yeni tehditlere karşı sürekli olarak gözden geçirilip güncellenmektedir. Gerekli görülen ek önlemler BGYS komite toplantısında tartışıldıktan ve gerekli testleri yapıldıktan sonra sisteme entegre edilmelidir. Ancak, kullanıcılar önlemlere güvenerek sistemi savunmasız bırakacak biçimde hareket etmemelidir.

4.6.Ağ Yönetimi

- Tüm ağ ( ana omurga ve aktif cihazlar) yönetimi yapılanması ve kurulumu IT ekibi tarafından yapılmaktadır.

- Kurum ağı içerisinde ayrı Vlan yapıları olması zorunludur. Kritik sistemler ve kullanıcı bilgisayarları farklı Vlan üzerinde bulunmalıdır.

- Kurum ağı içerisinde kullanıcılar sadece gerekli olan sunuculara erişimleri bulunmakla birlikte sadece gerekli olan portlara erişimleri olmalıdır.

- Ağ altyapı elemanlarında kimlik doğrulama açık olmalıdır. Anahtarlama cihazında kimlik doğrulama; cihaza yönetimsel veya denetimsel erişim söz konusu olduğu zaman kişinin doğru kişi olup olmadığının kontrolüdür.

- Ağ altyapı cihazlarına fiziksel erişim ile (konsol bağlantısı ile) veya uzaktan erişim ( ssl, ssh üzerinden) güvenli kanallar üzerinden bağlantıları için kimlik kontrolü yapılmalıdır.

4.7.Bilgi Ortamı Yönetimi ve Güvenliği

- Taşınabilir ortamdaki bilgi artık kullanılmayacaksa, silinmelidir.

- Gerekli olmadığı sürece bilgi varlıkları yetkisiz kişilerle paylaşılmamalıdır.

- İşlemlerin, prosedürlerin, veri yapılarının, yetkilendirme işlemleri gibi hassas bilgilerin bulunduğu sistem dokümantasyonu, yetkisiz kişilerin erişimini engellemek amacıyla güvenli ortamlarda bulundurulmalı, elektronik kopyalarına iç ağ üzerinden ilgili kişilerin erişebileceği şekilde Y-BG.AŞ.T.03-YG prensipleri uygulanmalıdır.

- Dışarıdan yardım alınacak üçüncü şahıs firmaları ve dış kaynaklı çalışma personeline gerektiği takdirde geçici yetkileri bulunan kullanıcı hesapları tanımlanmalıdır. Bu hesaplar çalışma biter bitmez devreden çıkarılmalıdır.

4.8.Bilgi ve Yazılım Değişimi

- Bilgi varlıklarının dağıtımı veya nakli sırasında uygun güvenlik tedbirlerinin alınmasına dikkat edilmelidir. Bu tedbirler, özel güvenlikli paketleme, güvenli kurye kullanma veya elektronik ortamlar için sayısal imzalama ve şifreleme kullanma gibi önlemler olabilir.

-   E-posta hizmetlerini kullanan tüm kurum personeli, e-postaların güvenliğini sağlamak amacıyla oluşturulmuş olan Varlıkların Kabul Edilebilir Kullanımı Talimatı’nda (Y-BG.AŞ.T.02-YG) belirtilen kurallara uymakla yükümlüdürler

-   Web sitesi, çevresel bilgi sistemi ve diğer yollarla İnternet üzerinde bulunan halka açık kurum bilgilerinin izinsiz olarak değiştirilmesine, eklenmesine veya silinmesine karşı gerekli koruma önlemleri alınmalı ve yetkilendirmeler yapılmalıdır.

-   Özel yazılımlarla paylaşım alanlarına yapılan bağlantılar kullanıcı adı ve şifre korumalı olmalı paylaşım alanı üzerindeki her türlü hareket kayıt altına alınmalıdır. Paylaşım alanına özel erişimler için destek ortamına kayıt açılmalı ve BGYS Yöneticisi onayı alınmalıdır.

5.BİLGİ SİSTEM DONANIM-YAZILIM VE ALTYAPI, YÖNETİM VE TALEP SÜREÇLERİ:
- Hastanemiz bilgi işlem birimde yazılım-donamım destek ekibi oluşturulmuş ve bu ekip 24 saat kesintisiz hizmet vermektedir. Oluşturulan ekibin iletişim bilgileri icap listesi şeklinde hastanemiz santraline aylık olarak teslim edilmektedir. Sistemde meydan gelen aksaklıklar ve sistemin devre dışı olması durumunda bilgi işlemde bulunan günlük icap defterine kayıt edilmekte ve imza altına alınmaktadır.
- Sistemdeki yazılımsal sorunlar sistemde bulunan istek ve istek sorgulama ekranından otomasyon firmasına online olarak gönderilir ve gönderimler ile ilgili teknik şartnamede belirtilen süreler içinde firma tarafından cevaplanmalıdır.

- Sistemde bulunan donanımsal sorunlar için sistem üzerinde bulunan online arıza bildirim formu düzenlenir. Düzenlenen form sistem üzerinden bilgi işlem sorumlusu yâda yeki olan bilgi işlem personeli tarafından arıza bildirim sisteme kayıtlı bilgi işlem personeline görev ataması yapar görevli bilgi işlem personeli kendi sistem kodu ile arıza bildirimi karşılar ve görevini tamamladıktan sonra bildirimi kapatır. Yapılan arıza kayıtlarını kontrol eden bilgi işlem sorumlusu tarafından onaylanır ve arıza bildiriminde değişiklik yapılması engellenir.

- Oluşturulan icap listesinde donanımsal sorunlar ve HBYS sorunları için iki ayrı personel bilgisi yer alır. Santral ekibi arıza durumunda icapçı HBYS görevlisine arıza birimine bağlar eğer arıza donanımsal ise donamım görevlisi ile görüşmesi söylenir. Bildirilen arıza uzaktan çözülebilecek ise uzaktan değil ise hastaneye gelinerek arıza tamamlanmış olur.
- Sisteme yapılan bildirimler için gerekli iyileştirme çalışmaları başlatılır ve yapılan işlemler ile ilgili yönetim bilgilendirilir. Sistemde meydana gelebilecek olası sorunlar için mesai saati içinde bilgi işlem birimi ile mesai dışında ise icap listesinde yer alan bilgi işlem personeli ile görüşme yapılır. Olası sorunlarda mesai saati içinde ise tüm birimler mesai saati dışında ise Acil servis, röntgen, laboratuvarlar, kan merkezi ve hastane eczanesi sorun ile bilgilendirilir.

6.VARLIK YÖNETİMİ:

Varlık: Bir kurum için değeri olan ve bu nedenle uygun olarak korunması gereken tüm unsurlardır.

- Kurum bünyesinde kullanılmakta olan her bir varlık, envanter kayıtlarına geçirilmelidir.

-Envanter kayıtları sürekli olarak güncel tutulmalı ve yeni varlıklar, envanter kayıtlarına hemen girilmelidir.

-Varlık kapsamında değerlendirilen bilgi, yazılım, donanım ve hizmet varlıkları için sahipler atanmalı ve varlıkların sahipleri, envanter kayıtlarında bulunmalıdır.

-Herhangi bir bilgi teknolojisi varlığının sahibi olarak belirlenmiş personel, bu varlığın korunmasından sorumludur.

-Tüm bilgi, veri ve dokümanlar anlaşılır bir biçimde etiketlenmelidir. Bu şekilde, kullanıcılar bilgi varlığının sahibinden ve sınıflandırmasından haberdar olacaklardır.

-Bilgi varlıklarının sınıflandırılmasından ve bu sınıflandırmanın belirli zamanlarda gözden geçirilmesinden BGYS Yöneticisi sorumludur. Gerektiğinde BGYS yöneticisi sınıflandırmayı belirleyebilir veya belirlemek üzere BGYS Komitesi’ne aktarabilir.

-Erişim kontrol ve ağ hizmetleri kullanım talimatı (Y-BG.AŞ.T.03-YG) ve risk analizi tedavi planı hazırlanırken varlık envanteri listesi göz önünde bulundurulmalıdır.

7.İŞ SÜREKLİLİĞİ YÖNETİMİ:

- İş Sürekliliği Planının amacı, firmamızın bilişim sistemlerinde, olası felaket ve iş akışını engelleyecek veya aksatacak her türlü senaryonun gerçekleşmesi halinde, kurumun kritik fonksiyonlarının kesintisiz biçimde devam ettirilmesi ve kesintiye uğrayan fonksiyonların ihtiyaç duyulan süre içerisinde geri döndürülmesidir.

 

- İş sürekliliği yönetim sürecinde oluşturulan takımlar, belirli aralıklarla toplantı yapmalı ve sistemi gözden geçirmelidirler.

8.YEDEKLEME:

- Yedekleme; sunucunun kendi üzerinde ayrıca, harici bellek, ağ üzerinde çalışan ve bilgi işlem koordinatörü odasında bulunan 1 adet PC’de yedeklenmektedir.

- Yedekleme sunucuda günlük olarak üç defa yapılmaktadır. Arşivlemesi harici bellekte ve PC’de haftalık olarak yapılmaktadır.

- Veriler yedekleme yapıldıktan sonra offline ortamda saklanmaktadır.

- Yılda bir defa olmak üzere; yedeklenen veri kontrol edilerek veri kurtarma testi uygulanmaktadır. Yapılan veri kurtarma testinin başarı durumu tutanakla kayıt altına alınmaktadır.

- Yedekleme dosyaları HBYS’nin çalıştığı sunucu haricindeki bir ortama alınır.
- Yedekleme; harici bellek, taşınabilir kayıt ortamları veya ağ üzerinde çalışan yedek sunucu gibi
bir ortamda saklanır.
-  Alınan yedekleme ortamı, fiziksel olarak HBYS’nin üzerinde çalıştığı alanlardan farklı bir
alanda/ farklı binada saklanır.
-  Veriler offline ortamlarda süresiz olarak Hastane Yönetimi/Genel Sekreterlik Bilgi Sistemleri
Birimi tarafından saklanır.
-  Yedeklemeler aracılığı ile yılda bir kez veri kurtarma testi uygulanır.
-  Yedeklemeden geri dönüşüm sağlanıp sağlanmadığı ve veri kaybının olup olmadığı kontrol
edilir.
-  Test tutanakla kayıt altına alınır.
-  Gerektiğinde iyileştirme çalışmaları başlatılır.

9.BİLGİ TEKNOLOJİLERİ İMHA YÖNETİMİ:

- Bilgi Teknolojilerinin (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 tarihli 25755 sayılı
Resmi Gazete 'de yayınlanmış, sonraki yıllarda da çeşitli değişikliklere uğramış katı atıkların k
yönetmeliğine ve Basel Sözleşmesine göre donanımların imha yönetimi gerçekleşmelidir. Komisyonca
koşullar sağlanarak donanımlar parçalanıp, yakılıp (Özel kimyasal maddelerle) imha edilmelidir.
- İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir.
- Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır.
- Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara data imha tutanağı düzenlenmesi
ve bertaraf edilen ürünlerin seri numaraları ve adet bilgisinin data
- Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır.
- Tamamen tahrip edilememiş disk parçalarının delme getirilmelidir.
- Hacimsel küçültme işlemi için parçalanmalıdır.
- Son ürünlerin grupiar halinde fotoğraflanarak ilgili kişi ve/veya kuruma iletilmesi gereklidir.
- Çıkan metallerin sınıflarına göre ayrıl gerekmelidir.

 

BİLGİ GÜVENLİĞİ POLİTİKALARI KILAVUZU

https://bilgiguvenligi.saglik.gov.tr/files/K%C4%B1lavuz%202.1%20Onay%20(16.07.2019).pdf