1.Tanım:
Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.
Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
• Gizlilik
• Bütünlük
• Kullanılabilirlik
Bu kavramları biraz daha açacak olursak:
Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.
Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmamasıdır.
Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.
2.Kapsam:
Bu politika, Hastane Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.
3.Amaç:
Hastane yönetimi açısından;
• Hastanenin güvenilirliğini ve temsil ettiği makamın imajını korumak,
• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,
• Hastanenin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak
amacı ile bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.
4.İlkeler:
Hastane bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:
a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde hastaneye ait bilginin gizliliğini sağlamalı,
b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, belirlenen güvenlik önlemlerini almalı,
d) Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi İşlem Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemleri almalıdır.
e) Hastane içi bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.
f) Hastane bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.
Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür.
5. Roller ve Sorumluluklar;
a) İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle kapsam dahilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.
b) Bilgilerin bütünlüğü her durumda korunacaktır.
c) Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.
d) Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.
e) Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel yada elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.
f) Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınacaktır.
g) Tüm çalışanlarımız bütün faaliyetlerde “bilmesi gereken” prensibine göre bilgilendirilecek olup, elektronik ortamda da “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır.
h) Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını sağlayacaklardır.
6. Politika İhlali ve Yaptırımlar;
Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki yaptırımlardan bir ya da birden fazla maddesi uygulanabilir:
• Uyarma,
• Kınama,
• Aylıktan Kesme,
• Kademe İlerlemesinin durdurulması,
• Para cezası,
• Sözleşmenin feshi,
7. İşbu “Bilgi Güveliği Politikası” hastane yönetimince onaylanmasının ardından yürürlüğe girer ve hastane personelince uyulması gereklidir.
.BİLGİ YÖNETİM SİSTEMİ VE BİLGİ GÜVENLİĞİ
Hastanemize başvuruda bulunan kişilere ait bilgilerin güvenliğinin sağlanması amaçlı öncelikle
verilerin doğru olarak toplanması, depolanması ve kullanılmasına ilişkin uygulamalarımızı ve güvenlik
önlemlerimizi dâhili olarak gözden geçirmek ve kişisel verileri depoladığımız sistemleri yetkisiz erişime
karşı korumak için fiziksel güvenlik önlemlerini almak ve bunun devamlılığını sağlamaktır. Hastanemizde tüm hasta bilgilerinin girişi HBYS‟ ne tanımlanan alanlara yapılmaktadır. Göreve yeni başlayan personelçalışmakta olduğu Birimde Hastane Otomasyon Sistemine dahil herhangi bir modül kullanacak ise Bilgiİşlem Birimi Sorumlusuna başvurarak kendisine verilecek olan HBYS kullanıcı kodu ve şifresini almalıdır.
12.1.Parola Yönetimi ve Kullanımı
- Kullanıcı hesaplarına ait parolalar (örnek: e-posta, web, masaüstü bilgisayar vs.) en geç 3( üç) ayda
bir değiştirilmelidir.
- Sistem yöneticileri, kendi yönetimindeki sistem ve kendi kullanıcı hesapları için farklı parolalarkullanmalıdır.
- Parolaların e-posta iletilerine veya herhangi bir elektronik forma eklenmesi yasaktır.
- Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması
konusunda BGYS Birimi tarafından yapılan farkındalık eğitimleri ve farkındalık e-postaları ile
düzenli aralıklarla bilgilendirilir.
- Kurum çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu yönergenin ilgili
maddelerinde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.
- Bütün parolalar Ahlat Devlet Hastanesi‟ ne ait gizli bilgi niteliğindedir. Paylaşılamaz, kâğıtlara ya
da elektronik ortamlara yazılamaz.
- Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği
kullanılması bilgi güvenliği açısından sakıncalı olup, kullanıcılara farkındalık eğitimlerinde bu
hususun önemi iletilir.
- Parola kırma ve tahmin etme operasyonları belli aralıklar ile güvenlik tatbikatlarında gerçekleştirilir.
Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını
değiştirmesi talep edilir.
-Kullanıcının son 3 parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenmelidir.
- En az 8(sekiz) karakterli olmalıdır.
- İçerisinde en az 1(bir) tane büyük ve en az 1(bir) tane küçük harf bulunmalıdır.
- İçerisinde en az 1(bir) tane rakam bulunmalıdır.
- İçerisinde en az 1(bir) tane özel karakter bulunmalıdır. (@, !,?,A,+,$,#,&,/,{,*,-,],=,...)
- Aynı karakterler peş peşe kullanılmamalıdır. (aaa, 111, XXX, ababab...)
- Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...)
- Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır.
- Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin
12345678, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi)
- Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.
- Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalarkullanılmamalıdır.
- Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde
edilebilir.
12.2.Kişisel Sağlık Kayıtların Güvenliği:
Kullanıcılar tarafından hasta ile ilgili muayene ve reçete bilgiler girildikten sonra hasta kaydı
kapatılır. Tekrar kullanıcılar bilgileri değiştirilemez. Kişisel bilgiler kişinin kendisi veya mahkeme
tarafından istenildiği takdirde verilir.
12.3. İnternet Erişim Ve Kullanım:
İnternet erişimi hastane genelinde yönetimin belirlediği çerçeve içerisinde verilmektedir.
- Gün içerisinde hastane internet ağına bağlı olan tüm bilgisayarların hangi zamanda, hangi internet
sitesine bağlandığını, ne kadar süreyle o sayfada kaldığı gibi tüm bilgiler hastane fiziksel güvenlik
duvarında ( cihaz Kamu Hastaneler Birliğinde bulunmaktadır) yedeklenip log‟ları kayıt altına
alınmaktadır.
- Özellikli birimlerin talepleri doğrultusunda yönetimin uygun görmesi halinde internet erişimi
genişletilmektedir.
-İnternet erişim kayıtları güvenlik duvarı üzerinde loglarda tutulmaktadır.
- Tüm loglar izlenebilir durumdadır.
12.4. E-Posta Kullanım:
Tüm birimler e -posta gelen ve giden olarak kullanabilmektedir. Ahlat Devlet Hastanesine hizmet verenve Ahlat Devlet Hastanesi fiziki alanlarında çalışan tüm personel (memur, danışman ve firma) içinkurumsal e-posta (@saglik.gov.tr) hesabı tahsis edilir ve tüm iş amaçlı e-postaların kurumsal e-postahesabı ile gerçekleştirilmesi zorunludur.
- Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlıkullanılamaz.
- İş dışı konulardaki haber grupları kurumsal e-posta adres defterine eklenemez.
- Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara Spam (istenmeyen e-posta),Phishing (kimlik avı) mesajlar göndermek için kullanılamaz.
- Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici
nitelikte e-posta mesajları gönderilemez.
- İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta hesabıkullanılamaz. Ancak iş gereği üye olunması yararlı internet haber grupları için yöneticisinin onayıalınarak kurumun sağladığı resmi e-posta adresi kullanılabilir.
- Hiçbir kullanıcı, gönderdiği e-posta adresinin Kimden bölümüne yetkisi dışında başka bir kullanıcıyaait e-posta adresini yazamaz.
- Personel konu alanı boş bir e-posta mesajı göndermemelidir.
- Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
- E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu
olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip ve/ya rarformatında) mesaja eklenecektir.
- Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine
iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması içingönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
- Kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar
vermeye yönelik öğeleri içeren mesajlar gönderilemez. Bu tür özelliklere sahip bir mesaj alındığında
Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
- Kullanıcı hesapları, doğrudan ya da dolaylı, ticari ve kâr amaçlı olarak kullanılamaz. Diğerkullanıcılara bu amaçla e-posta gönderilmesi yasaktır.
- Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-posta alındığında,
eposta başka kullanıcılara iletilmeden Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haberverilmelidir.
- Zararlı e-posta, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmemelidir.
- Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabuletmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka
aykırı mesajların içeriğinden kullanıcı sorumludur.
- Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafındanokunmasını engellemelidir.
- Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir
işlem yapmaksızın Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber vermelidir.
- Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir.
- Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu
düşünülen e-postalar Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
- Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak
hukuki işlemlerden sorumlu olup, parolasının çalındığını fark ettiği anda Kullanıcı Hesapları ve E Posta Yönetimi Birimine haber vermelidir.