T.C. SAĞLIK BAKANLIĞI ŞENKAYA İLÇE DEVLET HASTANESİ BİLGİ YÖNETİM SİSTEM SÜREÇLERİNE İLİŞKİN HASTANE POLİTİKASI
Bilgi Güvenliği Nedir?
Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği; bilgiyi, yetkisiz kişilerin görmesinden, değiştirmesinden, bilgilerin silinmesinden korumaktadır. Bilgi güvenliği, kurumlarda bilişim sistemlerinin kullanılmasıyla daha önemli hale gelmiştir. Bilgi saklama ortamları olarak çoğunlukla kâğıt kullanıldığı zamanlarda güvenlik önlemleri olarak fiziksel güvenlik önlemlerine ağırlık verilmiş, ancak, gelişen teknolojiler kullanılarak bilgilerin dijital ortamlarda, veri tabanlarında, CD, Çıkarılabilir Disk gibi saklama ortamlarında kullanıcısının 24 saat erişebileceği şekilde saklanması gündeme geldiğinde fiziksel güvenlik önlemleri yetersiz kalmaya başlamıştır. Gerek bilişim sistemlerinin bağlantı ihtiyaçları sonucunda Internet erişimleri nedeniyle dünya üzerindeki birçok saldırganın tehdit oluşturması, gerekse iç kullanıcıların bilinçli veya bilinçsiz olarak bilgi güvenliğinde açıklıklara neden olması, kurumlarda bilgi güvenliğine olan ihtiyacı gün geçtikçe daha fazla artırmaktadır. Bilgi güvenliğine duyulan ihtiyaçla birlikte, güvenliğin sağlanması için bilinçli personel barındırmak ve güvenlik sürecinin işletilmesi için yeterli doküman ve yöntemlerin oluşturulması da bir zorunluluk olmuştur.
Bilgi güvenliği, bu politikada aşağıdakilerin korunması olarak tanımlanır:
1.Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek; 2.Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek;
3.Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek. Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.
BİLGİ YÖNETİM POLİTİKASI
1. Bilgi Güvenliği Yönetim Sistemi Politikası’nın oluşturulması etkin iş ve çalışma ortamının sağlanması, kurum kültürünün korunması, itibarın zarar görmemesi için önemlidir. Şenkaya İlçe Devlet Hastanesi Bilgi Güvenliği Yönetim Sistemi Politikası’nın amacı kurumumuz bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları tanımlamaktır.
2. Hastanemizde Bilgi Güvenliği Yönetim Sistemi Politikası kapsamında kurum bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının güvenliğinin (gizliliğinin ve bütünlüğünün) sağlanması hedeflenmektedir.
3. Bu politika kurum bilgi işlem altyapısını kullanmakta olan tüm birimleri ve bağlı kuruluşları, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamakla birlikte;
a. Veri dosyaları, sözleşmeler vb. den oluşan bilgi varlıkları,
b. Uygulama yazılımları, sistem yazılımları ve hizmetlerden oluşan yazılım varlıkları,
c. Yönlendirici cihazları, güvenlik cihazları, sistem yönetim sunucuları, yasal yükümlülükler kapsamında kurulmuş sunucu sistemleri, bilgisayarlar, iletişim donanımı ve veri depolama ortamlarını içeren fiziksel varlıklar,
d. Tüm işlevlerin yerine getirilmesi ile ilgili aydınlatma, iklimlendirme, kablolama gibi unsurlardan oluşan hizmet varlıkları,
e. Kapsamdaki faaliyetlerin yürütülmesini sağlayan insan kaynakları varlıklarını kapsamaktadır.
4. Bilgi Güvenliği Yönetim Sistemi Politikası uyumunda üst yönetim ve yanı sıra kurumun tüm çalışanları sorumludur.
5. Bilgi güvenliğinde ana hedeflerimiz:
a. Kurumu içeriden veya dışarıdan gelebilecek yazılım ve donanım ile ilgili tüm tehditlere karşı korumak,
b. Üretilen veya kullanılan bilgilerin gizliliğini güvence altına alarak Kişisel Verileri Koruma Kanunu çerçevesinde kurumun imajını korumak,
c. Kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak,
d. Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamaktır
6. Hastanelerimizde bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve bilgi varlıklarında gizlilik, bütünlük ve erişilebilirlik prensiplerine uyulacak önlemler almak amacıyla aşağıda detayları belirtilen risk yönetimi faaliyetleri yürütülmektedir:
a. Bilgi güvenliğinin en önemli bileşeni kullanıcıların güvenlik bilincidir. Bilgi Güvenliği Yönetim Sistemi Politikası kapsamında tüm personelin bilgi güvenliği farkındalıklarını artırmak amacıyla işe alım esnasında tüm personele ve gerek görüldüğünde ilgililere bilgilendirme yapılmaktadır.
b. Kurumsal şifrelerin seçiminde dikkat edilmesi gereken ayrıntılar belirtilmektedir.
c. Bilgi güvenliği yönetim sistemine karşı riskler düzenli olarak değerlendirilmektedir.
d. Risk seviyelerini kabul edilebilir risk seviyelerinin altında tutmak için önlemler alınmaktadır.