Büyükçekmece Mimar Sinan Devlet Hastanesi olarak, hastalarımızın ve çalışanlarımızın kişisel verilerinin gizliliğine ve güvenliğine en üst düzeyde önem vermekteyiz. Tüm bilgi sistemlerimizde yer alan kişisel ve kurumsal veriler, ilgili mevzuat kapsamında korunmakta ve titizlikle işlenmektedir.
24/03/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile 20.10.2016 tarihli ve 29863 sayılı Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine uygun şekilde kurumumuz tarafından gerekli tüm idari ve teknik tedbirler alınmaktadır.
Bilgi güvenliğinin en önemli unsurlarından biri kullanıcı şifrelerinin gizliliği ve güvenliğidir. Bu kapsamda, kurumumuz bünyesinde kullanılan yazılım ve donanım sistemlerinde yer alan kullanıcı hesapları için belirli aralıklarla şifre değişikliği zorunlu tutulmaktadır.
Personellerimize, sistem tarafından düzenli olarak şifre yenileme hatırlatmaları yapılmakta olup, bildirimi alan kullanıcıların mevcut şifrelerini en kısa sürede güncellemeleri zorunludur.
Bu uygulamalar ile hasta ve çalışan bilgilerinin güvenliği sağlanarak bilgi sistemlerinde yetkisiz erişimin önlenmesi hedeflenmektedir.
Bilgi Güvenliğinde Şifre
Bilgi güvenliğinin en önemli unsurlarından biri kullanıcı farkındalığıdır. Sistemlerde meydana gelen güvenlik açıklarının büyük bir kısmı kullanıcı hatalarından kaynaklanmaktadır. Bu nedenle, kullanıcı adı ve şifre bilgilerinin güvenliği büyük önem taşımaktadır. Saldırganlar (hacker’lar) çoğunlukla zayıf ve tahmin edilebilir şifreleri hedef alarak sisteme yetkisiz erişim sağlamaktadır.
Bu kapsamda, güçlü şifre oluşturulması kurum bilgi güvenliği açısından zorunludur.
“Bilgi sistemlerinin güvenliğinin kullanıcı adı ve şifreye bağlı olduğu unutulmamalıdır.”
Güçlü Şifre Oluştururken Dikkat Edilmesi Gerekenler
•Şifre en az 8 karakter uzunluğunda olmalıdır.
•En az bir büyük harf ve bir küçük harf içermelidir.
•En az bir rakam bulunmalıdır.
•En az bir özel karakter içermelidir (*, $, #, !, @, ?, & vb.).
•Şifreler kişisel bilgilerle ilişkili olmamalıdır (isim, doğum tarihi, telefon numarası, evlilik tarihi vb.).
•Sözlükte yer alan yaygın kelimeler şifre olarak kullanılmamalıdır.
•Kolay tahmin edilebilecek tekrar eden veya sıralı karakterlerden kaçınılmalıdır (123456, abc123 vb.).
•Şifreler düzenli aralıklarla değiştirilmelidir.
BİLGİ GÜVENLİĞİ POLİTİKAMIZ
1. Tanım
Bilgi güvenliği; kurumumuzda yürütülen tüm sağlık hizmeti ve idari süreçlerin sürekliliğinin sağlanması, olası kesinti ve risklerin azaltılması ve kurumsal verimliliğin artırılması amacıyla bilginin yetkisiz erişim, değiştirme, kayıp veya ifşa gibi tehditlere karşı korunmasını ifade eder.
Bilgi güvenliği temel olarak üç ana ilkeye dayanır:
•Gizlilik
•Bütünlük
•Kullanılabilirlik
Gizlilik: Bilginin yalnızca yetkili kişiler tarafından erişilebilir olmasıdır. Yetkisiz kişilerin bilgiye erişmesinin veya bilgiyi ifşa etmesinin önlenmesini kapsar.
Bütünlük: Bilginin doğruluğunun ve bütünlüğünün korunmasıdır. Bilginin yetkisiz kişiler tarafından değiştirilmesi, silinmesi veya bozulmasının engellenmesini ifade eder.
Kullanılabilirlik: Bilginin ihtiyaç duyulduğu her an, yetkili kullanıcılar tarafından erişilebilir ve kullanılabilir durumda olmasıdır. Sistemlerin sürekliliği bu ilke kapsamında sağlanır.
2. Kapsam
Bu politika; hastanemiz bilgi işlem altyapısını kullanan tüm birimleri, bilgi sistemlerine erişim sağlayan personeli, üçüncü taraf kullanıcıları ve teknik destek hizmeti sunan tüm yazılım, donanım ve hizmet sağlayıcılarını kapsar.
3. Amaç
Bilgi güvenliği politikasının temel amacı;
•Kurumsal güvenilirliğin ve hizmet kalitesinin korunması,
•Yasal ve sözleşmesel yükümlülüklere uyumun sağlanması,
•Hastane bilgi varlıklarının güvenliğinin temin edilmesi,
•Sağlık hizmetlerinin kesintisiz ve güvenli şekilde sürdürülmesi,
•Hasta ve çalışan bilgilerinin korunmasıdır.
4. İlkeler
Hastane bilgi sistemlerini kullanan tüm kullanıcılar;
•Kuruma ait bilgilerin gizliliğini her koşulda korumakla yükümlüdür.
•Bilgilerin doğruluğunu ve bütünlüğünü sağlamak zorundadır.
•Kritik verileri yedeklemek ve güvenlik önlemlerine uymakla sorumludur.
•Bilgi güvenliği ihlallerini ilgili birimlere zamanında bildirmelidir.
•Kurum içi bilgi ve belgeleri yetkisiz üçüncü kişilerle paylaşamaz.
•Bilişim kaynaklarını yasal mevzuata aykırı amaçlarla kullanamaz.
•“Bilmesi gereken” prensibi doğrultusunda bilgiye erişim sağlanır.
•“Temiz ekran / temiz masa” kurallarına uygun şekilde çalışmakla yükümlüdür.
5. Roller ve Sorumluluklar
•Bilgiye erişim, yetkiler doğrultusunda ve iş sürekliliğini sağlayacak şekilde düzenlenir.
•Bilginin bütünlüğü ve doğruluğu her koşulda korunur.
•Gizlilik ilkesi tüm bilgi türleri için geçerlidir.
•Bilgi güvenliği riskleri düzenli olarak değerlendirilir ve kabul edilebilir seviyeye indirilir.
•Elektronik ve fiziksel ortamda bulunan tüm bilgiler uygun şekilde korunur.
•Tüm çalışanlar “bilmesi gereken” prensibine göre bilgilendirilir.
•Birim yöneticileri, politika hükümlerinin uygulanmasından sorumludur.
6. Politika İhlali ve Yaptırımlar
Bilgi güvenliği politika ve kurallarına uyulmaması durumunda, ihlalin niteliğine göre aşağıdaki yaptırımlar uygulanabilir:
•Uyarma
•Kınama
•Aylıktan kesme
•Kademe ilerlemesinin durdurulması
•Para cezası
•Sözleşmenin feshi
•Gerekli durumlarda adli ve idari süreçlerin başlatılması
7. Yürürlük
İşbu Bilgi Güvenliği Politikası, hastane yönetimi tarafından onaylanmasının ardından yürürlüğe girer. Tüm çalışanlar bu politika hükümlerine uymakla yükümlüdür.
ALDIĞIMIZ TEKNİK ÖNLEMLER
Hastanemiz bilgi sistemlerinin güvenliğini, sürekliliğini ve kesintisiz hizmet vermesini sağlamak amacıyla modern veri merkezi standartlarına uygun teknik altyapı ve güvenlik önlemleri uygulanmaktadır.
Bu kapsamda alınan başlıca teknik önlemler aşağıda yer almaktadır:
•FM 200 Yangın Söndürme Sistemi ile yangına hızlı ve elektronik sistemlere zarar vermeden müdahale
•Yükseltilmiş Zemin Sistemi ile kablo altyapısı düzeni ve olası su baskınlarına karşı koruma
•Kesintisiz Güç Kaynağı (UPS) ile elektrik kesintilerine karşı sistem sürekliliğinin sağlanması
•İki Ayrı Sistem Odası ile yedeklilik ve felaket durumlarında hizmet devamlılığı
•Antistatik Zemin ve Alan Uygulamaları ile elektronik ekipmanların korunması
•Yanmaz Boya ve İzolasyon Sistemleri ile yangın riskine karşı yapısal güvenlik
•Su ve Atık Su Riskine Karşı Fiziksel Koruma Önlemleri
•Isı ve Ortam Takip Sistemleri ile sıcaklık ve nem değerlerinin sürekli izlenmesi
•Kontrollü Giriş Sistemi ile yetkisiz erişimlerin engellenmesi
•IP Tabanlı İzleme ve Güvenlik Sistemleri ile altyapının sürekli izlenmesi ve kayıt altına alınması
•Paratoner Sistemi ile yıldırım kaynaklı elektriksel risklere karşı koruma
•Özel Topraklama Sistemi ile elektriksel güvenliğin sağlanması
•Cluster (Yedekli) Sunucu Mimarisi ile sistemlerin kesintisiz ve yüksek erişilebilirlik ile çalışması
Bu teknik altyapı sayesinde hastane bilgi sistemleri; güvenli, sürdürülebilir ve yüksek erişilebilirlik prensipleri doğrultusunda hizmet vermektedir.