1.Tanım:
Bilgi
güvenliği; kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana
gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın
artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar.
Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
• Gizlilik
• Bütünlük
• Kullanılabilirlik
Bu kavramları biraz daha açacak olursak:
Gizlilik, bilginin
yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir
diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa
çıkarılmasının engellenmesidir.
Bütünlük, bilginin
yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde
tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük
için kısaca kazara veya kasıtlı olarak bilginin bozulmamasıdır.
Kullanılabilirlik, bilginin
her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir.
Herhangi bir sorun ya da problem çıkması durumunda bile bilginin
erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu
erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik
ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına,
yetkili olduğu zaman diliminde mutlaka erişebilmelidir.
2.Kapsam:
Bu
politika, Hastane Bilgi İşlem altyapısını kullanmakta olan tüm
birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları
ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya
donanım sağlayıcılarını kapsamaktadır.
3.Amaç:
Hastane yönetimi açısından;
• Hastanenin güvenilirliğini ve temsil ettiği makamın imajını korumak,
• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,
• Hastanenin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak
amacı
ile bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel
ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.
4.İlkeler:
Hastane bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:
a)
Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi
alışverişlerinde hastaneye ait bilginin gizliliğini sağlamalı,
b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, belirlenen güvenlik önlemlerini almalı,
d)
Bilgi güvenliği ihlal olaylarını raporlamalı ve Bilgi İşlem Birimi’ne
bildirmeli, bu ihlalleri engelleyecek önlemleri almalıdır.
e) Hastane içi bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.
f) Hastane bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.
Kurumun tüm çalışanları; bu politikaya, prosedür ve talimatlarına uymakla yükümlüdür.
5. Roller ve Sorumluluklar;
a)
İş süreçlerinin gereksinimi olarak her tür bilgi, en az kesintiyle
kapsam dahilindeki birimler, hizmet verenler ve gereken üçüncü
taraflarca erişilebilir olacaktır.
b) Bilgilerin bütünlüğü her durumda korunacaktır.
c)
Hizmet alanlar ve verenler ya da üçüncü taraflara ait olmasına
bakılmaksızın, üretilen ve/veya kullanılan bilgilerin gizliliği her
durumda güvence altına alınacaktır.
d)
Bilgi Güvenliği Yönetim Sisteminin tasarımı, uygulaması ve sürdürülmesi
aracılığıyla riskler kabul edilebilir düzeye indirilecektir.
e)
Bilgi; bilginin elektronik iletişimi, üçüncü taraflarca paylaşımı,
araştırma amaçlı kullanımı, fiziksel yada elektronik ortamda depolanması
gibi kullanım biçimlerinden bağımsız olarak korunacaktır.
f)
Çalışma alanlarında “Temiz Ekran/Temiz Masa” prensiplerine uygun
olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin,
başkalarınca görülmesine imkan verilmeyecek şekilde önlemler
alınacaktır.
g)
Tüm çalışanlarımız bütün faaliyetlerde “bilmesi gereken” prensibine
göre bilgilendirilecek olup, elektronik ortamda da “bilmesi gereken”
prensibi çerçevesinde erişilebilir olacaktır.
h)
Tüm birim yöneticileri bu esasları uygulanmasından birinci dereceden
sorumlu olacaklar ve personelin bu esaslara uygun olarak çalışmasını
sağlayacaklardır.
6. Politika İhlali ve Yaptırımlar;
Bilgi
güvenliği politika, prosedür ve talimatlarına uyulmaması halinde,
ilgililer hakkında adli ve idari yasal takibat başlatılarak; aşağıdaki
yaptırımlardan bir ya da birden fazla maddesi uygulanabilir:
• Uyarma,
• Kınama,
• Aylıktan Kesme,
• Kademe İlerlemesinin durdurulması,
• Para cezası,
• Sözleşmenin feshi,
7. İşbu
“Bilgi Güveliği Politikası” hastane yönetimince onaylanmasının ardından
yürürlüğe girer ve hastane personelince uyulması gereklidir.