1.Tanım:
Bilgi güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.
Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
• Gizlilik
• Bütünlük
• Kullanılabilirlik
Bu kavramları biraz daha açacak olursak:
Gizlilik, bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.
Bütünlük, bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmamasıdır.
Kullanılabilirlik, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.
2.Kapsam:
Bu politika, Hastane Bilgi İşlem altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.
3.Amaç:
Hastane yönetimi açısından;
• Hastanenin güvenilirliğini ve temsil ettiği makamın imajını korumak,
• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,
• Hastanenin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak
amacı ile bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.
4.İlkeler:
Hastane bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:
a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde hastaneye ait bilginin gizliliğini sağlamalı,
b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, belirlenen güvenlik önlemlerini almalı,
d) Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi İşlem Birimi’ne bildirmeli, bu ihlalleri engelleyecek önlemleri almalıdır.
e) Hastane içi bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.
f) Hastane bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.
Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür.
5. Roller ve Sorumluluklar;
a) İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle kapsam dahilindeki birimler, hizmet verenler ve gereken üçüncü taraflarca erişilebilir olacaktır.
b) Bilgilerin bütünlüğü her durumda korunacaktır.
c) Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her durumda güvence altına alınacaktır.
d) Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi aracılığıyla riskler kabul edilebilir düzeye indirilecektir.
e) Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı, araştırma amaçlı kullanımı, fiziksel yada elektronik ortamda depolanması gibi kullanım biçimlerinden bağımsız olarak korunacaktır.
f) Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınacaktır.
g) Tüm çalışanlarımız bütün faaliyetlerde “bilmesi gereken” prensibine göre bilgilendirilecek olup, elektronik ortamda da “bilmesi gereken” prensibi çerçevesinde erişilebilir olacaktır.
h) Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını sağlayacaklardır.
6. Politika İhlali ve Yaptırımlar;
Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki yaptırımlardan bir ya da birden fazla maddesi uygulanabilir:
• Uyarma,
• Kınama,
• Aylıktan Kesme,
• Kademe İlerlemesinin durdurulması,
• Para cezası,
• Sözleşmenin feshi,
7. İşbu “Bilgi Güveliği Politikası” hastane yönetimince onaylanmasının ardından yürürlüğe girer ve hastane personelince uyulması gereklidir.
BİLGİ YÖNETİM SİSTEMİ VE BİLGİ GÜVENLİĞİ
Hastanemize başvuruda bulunan kişilere ait bilgilerin güvenliğinin sağlanması amaçlı öncelikle
verilerin doğru olarak toplanması, depolanması ve kullanılmasına ilişkin uygulamalarımızı ve güvenlik önlemlerimizi dâhili olarak gözden geçirmek ve kişisel verileri depoladığımız sistemleri yetkisiz erişime karşı korumak için fiziksel güvenlik önlemlerini almak ve bunun devamlılığını sağlamaktır. Hastanemizde tüm hasta bilgilerinin girişi HBYS‟ ne tanımlanan alanlara yapılmaktadır. Göreve yeni başlayan personel çalışmakta olduğu Birimde Hastane Otomasyon Sistemine dahil herhangi bir modül kullanacak ise Bilgi İşlem Birimi Sorumlusuna başvurarak kendisine verilecek olan HBYS kullanıcı kodu ve şifresini almalıdır.
12.1.Parola Yönetimi ve Kullanımı
- Kullanıcı hesaplarına ait parolalar (örnek: e-posta, web, masaüstü bilgisayar vs.) en geç 3( üç) ayda bir değiştirilmelidir.
- Sistem yöneticileri, kendi yönetimindeki sistem ve kendi kullanıcı hesapları için farklı parolalar kullanmalıdır.
- Parolaların e-posta iletilerine veya herhangi bir elektronik forma eklenmesi yasaktır.
- Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda BGYS Birimi tarafından yapılan farkındalık eğitimleri ve farkındalık e-postaları ile düzenli aralıklarla bilgilendirilir.
- Kurum çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu yönergenin ilgili maddelerinde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.
- Bütün parolalar Silvan Dr. Yusuf Azizoğlu Devlet Hastanesi‟ ne ait gizli bilgi niteliğindedir. Paylaşılamaz, kâğıtlara ya da elektronik ortamlara yazılamaz.
- Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup, kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir.
- Parola kırma ve tahmin etme operasyonları belli aralıklar ile güvenlik tatbikatlarında gerçekleştirilir. Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını değiştirmesi talep edilir.
-Kullanıcının son 3 parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenmelidir.
- En az 8(sekiz) karakterli olmalıdır.
- İçerisinde en az 1(bir) tane büyük ve en az 1(bir) tane küçük harf bulunmalıdır.
- İçerisinde en az 1(bir) tane rakam bulunmalıdır.
- İçerisinde en az 1(bir) tane özel karakter bulunmalıdır. (@, !,?,A,+,$,#,&,/,{,*,-,],=,...)
- Aynı karakterler peş peşe kullanılmamalıdır. (aaa, 111, XXX, ababab...)
- Sıralı karakterler kullanılmamalıdır. (abcd, qwert, asdf,1234,zxcvb...)
- Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır.
- Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi)
- Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.
- Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır.
- Basit bir kelimenin içerisindeki harf veya rakamları benzerleri ile değiştirilerek güçlü bir parola elde edilebilir.
12.2.Kişisel Sağlık Kayıtların Güvenliği:
Kullanıcılar tarafından hasta ile ilgili muayene ve reçete bilgiler girildikten sonra hasta kaydı kapatılır. Tekrar kullanıcılar bilgileri değiştirilemez. Kişisel bilgiler kişinin kendisi veya mahkeme tarafından istenildiği takdirde verilir.
12.3. İnternet Erişim Ve Kullanım:
İnternet erişimi hastane genelinde yönetimin belirlediği çerçeve içerisinde verilmektedir.
- Gün içerisinde hastane internet ağına bağlı olan tüm bilgisayarların hangi zamanda, hangi internet sitesine bağlandığını, ne kadar süreyle o sayfada kaldığı gibi tüm bilgiler hastane fiziksel güvenlik duvarında ( cihaz İl Sağlık Müdürlüğünde bulunmaktadır) yedeklenip log‟ları kayıt altına
alınmaktadır.
- Özellikli birimlerin talepleri doğrultusunda yönetimin uygun görmesi halinde internet erişimi
genişletilmektedir.
-İnternet erişim kayıtları güvenlik duvarı üzerinde loglarda tutulmaktadır.
- Tüm loglar izlenebilir durumdadır.
12.4. E-Posta Kullanım:
Tüm birimler e -posta gelen ve giden olarak kullanabilmektedir. Silvan Dr. Yusuf Azizoğlu Devlet Hastanesine hizmet verenve Silvan Dr. Yusuf Azizoğlu Devlet Hastanesi fiziki alanlarında çalışan tüm personel (memur, danışman ve firma) içinkurumsal e-posta (@saglik.gov.tr) hesabı tahsis edilir ve tüm iş amaçlı e-postaların kurumsal e-postahesabı ile gerçekleştirilmesi zorunludur.
- Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz.
- İş dışı konulardaki haber grupları kurumsal e-posta adres defterine eklenemez.
- Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara Spam (istenmeyen e-posta),Phishing (kimlik avı) mesajlar göndermek için kullanılamaz.
- Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici
nitelikte e-posta mesajları gönderilemez.
- İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta hesabıkullanılamaz. Ancak iş gereği üye olunması yararlı internet haber grupları için yöneticisinin onayıalınarak kurumun sağladığı resmi e-posta adresi kullanılabilir.
- Hiçbir kullanıcı, gönderdiği e-posta adresinin Kimden bölümüne yetkisi dışında başka bir kullanıcıyaait e-posta adresini yazamaz.
- Personel konu alanı boş bir e-posta mesajı göndermemelidir.
- Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
- E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak ( zip ve/ya rarformatında) mesaja eklenecektir.
- Bakanlık ile ilgili olan gizli bilgi, gönderilen mesajlarda yer almamalıdır. Bunun kapsamı içerisine
iliştirilen öğeler de dâhildir. Mesajların gönderilen kişi dışında başkalarına ulaşmaması içingönderilen adrese ve içerdiği bilgilere özen gösterilmelidir.
- Kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajlar gönderilemez. Bu tür özelliklere sahip bir mesaj alındığında Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
- Kullanıcı hesapları, doğrudan ya da dolaylı, ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-posta gönderilmesi yasaktır.
- Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-posta alındığında,
eposta başka kullanıcılara iletilmeden Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
- Zararlı e-posta, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmemelidir.
- Kullanıcı, e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı sorumludur.
- Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir.
- Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber vermelidir.
- Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir.
- Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu
düşünülen e-postalar Kullanıcı Hesapları ve e-Posta Yönetimi Birimine haber verilmelidir.
- Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak
hukuki işlemlerden sorumlu olup, parolasının çalındığını fark ettiği anda Kullanıcı Hesapları ve E Posta Yönetimi Birimine haber vermelidir.