Bilgi Yönetim Prosedürü/Bilgi Güvenliği Yönetim Sistemi
29 Haziran 2021

  1. AMAÇ: Bilgi Yönetimi kapsamına giren alan ve faaliyetlerin koşullarını, esaslarını, işleyişini ve kurallarını belirlemektir.

  2. KAPSAM: Çatalca İlyas Çokay Devlet Hastanesinin tüm birimlerini kapsar.

  3. KISALTMALAR:

  4. TANIMLAR:
  • HBYS: Hastane Bilgi Yönetim Sistemi
  • PBS: Personel Bilgi Sistemi
  • Server: Ana Bilgisayar (Sunucu Bilgisayar) . Üzerinde tüm bilgilerin saklandığı ve genellikle diğer bilgisayarlara oranla daha hızlı ve kapasitesi yüksek bilgisayar.
  • LAN: Yerel Ağ.   Yüksek hızda veri transferi özelliğine sahip server, PC, printer gibi birimlerden oluşan bir ağ türüdür.
  • Network: İkiden fazla bilgisayarın birbirleriyle iletişim halinde olmasıdır. (Ağ kablolama)
  • Switch:  Network sistemlerinde,  LAN içerisindeki aygıtların ortak kullanım için birbirine bağlanmasını sağlayan ve LAN içerisindeki cihazlardan gelen veri paketlerini filtreleyerek sadece ilgili porta gönderen cihazdır.
  • Admin (Administrator) : Bilgi İşlem Sistemi içindeki üst düzey yetkili.

  1. SORUMLULAR: Başhekim, Başhekim Yardımcısı, Hastane Müdürü, Müdür Yardımcısı, Bilgi İşlem Sorumlusu, Bilgi İşlem Çalışanları, Teknik Hizmetler Amiri, Teknik Servis Çalışanları, Sistemi kullanan tüm çalışanlar.

  2. FAALİYET AKIŞI:
    • 6.1.Yazılım-donanım destek birimi bulunmalıdır.
    • 6.2.Hastanemizde faaliyet gösteren Yazılım-Donanım Destek Birimi 24 saat kesintisiz hizmet sunmakta olup; ortaya çıkabilecek aksaklıklar için Yazılım Donanım Destek Birimi çalışanlarının güncel iletişim bilgilerine santralden ulaşılabilir.

    • 6.3.Hastane Bilgi Yönetim Sistemi’nde (HBYS) yer alan modüller tek bir veri tabanı üzerinden yönetilmelidir.
  3.   GENEL KULLANIM :

    7.1      Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek, kuruma veya kişiye yönelik saldırılardan (Örneğin; elektronik bankacılık, hakaret-siyaset içerikli mail, kullanıcı bilgileri vs.) sistemin sahibi sorumludur.

    7.2      Ağ güvenliğini (Örneğin; bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ trafiğini bozacak eylemlere girişmemelidir.

    7.3      Port veya ağ taraması yapılmamalıdır.

    7.4      Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. Dos saldırısı, Port-network taraması vb. yapılmamalıdır.

    7.5      Kurum bilgileri kurum dışında üçüncü kişilere iletilmemelidir.

    7.6      Kurumun kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (Dergi CD’leri veya internetten indirilen programlar) kurmak ve kullanmak yasaktır.

    7.7      Personel kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin düzenli olarak farklı ortamlara (CD, DVD, USB, External Harddisk) yedeklenmesinden sorumludur.

    7.8      Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı/kopyalanmamalıdır.

    7.9      Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle bilgi işlem birimine haber verilmelidir. Kuralların uygulanmasından birim amirleri sorumlu olup, şahısların yapmış olduğu kural ihlallerinde ilgili sistem kullanıcısından başlamak üzere silsile yolu ile sorumludurlar.

  4. BİLGİ İSTEME HAKKINI KULLANMASI:

    Hastalarımızın, kendileri yada yasal varisleri kanalı ile tanı ve tedavinin tüm süreçlerine ve hastalığın olası gidişatına ilişkin tam ve yeni bilgi alma, kuruluşumuzun kendilerine ilişkin tıbbi dokümantasyonun bir kopyasını alma hakkı vardır.

      

  5. İLGİLİ DÖKÜMANLAR:
  • Hastane Bilgi Yönetim Sisteminde yer alan modüller tek bir veri tabanı üzerinden yönetilmektedir. Hastane Bilgi Yönetim Sisteminde yer alan temel modüller, Ayaktan Hasta Kabul, Yatan Hasta Kabul, Poliklinik, Vezne, Radyoloji, Eczane, Doğum ve ameliyathane,  Danışma Modülü olarak kullanılmaktadır.

    • 6.4.HBYS’de personel bilgi modülü bulunmalıdır.
  • Hastanemiz Hastane Bilgi Yönetim Sistemi Personel Bilgi Modülünde fotoğrafı, çalıştığı birim, kan grubu,  iletişim bilgileri,  izin ve rapor bilgileri,  eğitim durumu,  sertifikaları,  hizmet içi eğitimleri, yabancı dil bilgisi bulunur ve Personel Özlük Birimi tarafından güncel olarak takip edilir.

    • 6.5.HBYS’ye bağlı tüm bilgisayarlara yönelik düzenleme yapılmalıdır.
  • Hizmet binamızda kullanılacak tüm bilgisayar donanım ve yazılımların güncel envanteri oluşturulur. Bilgisayar Donanım Ve Yazılım Envanteri kullanılarak cihazların bulunduğu bölüm, donanım ve yazılım adı,  işletim sistemi, ek aksamlar, varsa garanti süresi kayıt altına alınır.

    • 6.6.Bilgi güvenliğini sağlamaya yönelik düzenleme ve RİSK yönetimi yapılmalıdır.
  1. Sunucuların fiziksel ve sistemsel güvenliğinin sağlanması; 
  2. Yedekleme işlemi;
  3. İnternet erişim ve kullanımı, Ordu Devlet Hastanesi yerleşkesinde bulunan Veri Merkezinde merkezi olarak yapılmaktadır.
  4. Herhangi bir virüs tehdidine karşı tüm bilgisayarlarda Veri Merkezindeki merkezi sunucu tarafından kontrol edilebilen antivirüs yazılımı kurulmuştur.
  5. Virüslü olduğu tespit edilen meteryal (Cd, DVD, Flaşh Bellek, External Harddisk) temizlenmeli, temizlenemiyor ise imha edilmelidir.
  6.  Şifre Kullanımı otomasyon sistemi yetkilendirme yapıldıktan sonra imza karşılığında birimlerde bulunan form ile verilmektedir.
  7. Kişisel bilgilere erişim hizmetlerimizi işletmek, geliştirmek ve iyileştirmek için, onları, bilmeleri gereken hastane çalışanları, yüklenicileri ve aracılarıyla sınırlı tutulur. Bu bireyler gizliliği koruma yükümlülükleri altında çalışırlar ve bu yükümlülüklere uymamaları durumunda, işlerine son verilmesi, disiplin cezası ve yasal işlemler başlatılır.
  8. Uzaktan erişim konusunda bilgi işlem personeli tarafından önceden oluşturulmuş şifreler ile bilgi işlem personeli ile otomasyon firmasının yetkilendirdiği kişiler tarafından ulaşılabilecek şekilde yapılandırılmış olup; süreçten Hastane Bilgi İşlem birimi sorumludur. 
  9. Çalışanların yer değiştirmesi veya işten ayrılması durumunda şifrelerinin kapatılma işlemi bilgi güvenliği açısından ilişiği kesilen personelin şifresinin bir an önce iptali esastır. İlişiği kesilen personelin tüm şifreleri ve kullanıcı yetkileri kullanıma kapatılır. Şifrenin, ilişiği kesilen personelin haber verilmesi ile birlikte 24 saat içerisinde iptali Bilgi İşlemin sorumluluğundadır.
  10. Bilgi işlem birim sorumlusu Başhekim,  İd.İşl.Md ve Bilgi İşlem Sorumlu Memurunun katılımı ile Bilgi Güvenliği Ekibi oluşturulmuştur.
  11. Bilgi Güvenliği Ekibinin sorumlulukları; 
  • Bilgi güvenliği ile ilgili mevcut durum tespit edilir.
  • Bilgi güvenliği için olası riskleri belirleme
  • Tanımlı kullanıcılar için yapılan yetki değişikliklerini izleme.
  • Bilgi güvenliği konusunda çalışanlara yılda en az bir kez eğitim verilir.

    • 6.7.Sunucu odalarının güvenliği sağlanmalıdır.
  • Sunucular Veri Merkezinde bulunmakta, hastanemiz Web tabanlı otomasyon yazılımı ile VPN bağlantısı kullanılarak bağlantı sağlamaktadır.

    • 6.8.Sunucunun güvenliğini sağlamaya yönelik tedbirler alınmalıdır.
  • Sunucu güvenliği Veri merkezince sağlanmaktadır.

    • 6.9.Veritabanı güvenliğini sağlamaya yönelik tedbirler alınmalıdır.
  • Veritabanı güvenliği Veri merkezince sağlanmaktadır.

    • 6.10.Dış ortamdan iç ortama erişimlerde güvenlik tedbirleri alınmalıdır.
  • Yedekleme işlemi Veri merkezince sağlanmaktadır.

    • 6.12.Hastane bilgi sisteminde yetkilendirme yapılmalıdır.
  • Hastane destek hizmeti veren firmanın dış ortamdan iç ortama hangi durumlarda erişim yapacağı bilgi işlem biriminin bilgisinde, dış ortamdan iç ortama yapılan erişimler İlgili birim sorumlusunun gözetiminde yapılır.

    • 6.11.HBYS üzerindeki verilerin yedeklenmesine yönelik düzenleme bulunmalıdır.
  1. Her kullanıcı veri tabanından hangi bilgilere erişebileceği tanımlanmıştır.  Çalışanlar yetki düzeyleri ile ilgili olarak bilgilendirilmiş, bilgilendirme ve yetki düzeyi kayıt altına alınmıştır. Aynı görevi icra eden çalışanlar aynı yetki gruplarına sahiptir. Verilere ve sisteme ulaşmada yetkilendirme OKU,  OKU+YAZ,  OKU+YAZ+DÜZELT, OKU+YAZ+DÜZELT+SİL ve ADMİN olmak üzere şekilde yapılır.  Modüllere ulaşılması için kullanıcılara,  kullanıcı kodu ve kullanıcı şifresi verilir. Kullanıcıların kendi çalıştığı alan ve o alanla ilgili diğer modüllere ulaşılmasına izin verilir. Yetkilendirme sistemi içinde izin öncelikle sisteme giriş, modüle giriş, modül alanı içindeki alt modüle giriş ve alt modül içinde OKU,  OKU+YAZ,  OKU+YAZ+DÜZELT, OKU+YAZ+DÜZELT+SİL sırasını izler.
  2. Yetkilendirme Dereceleri;
  • Bilgi İşlem için sistem yöneticisi,
  • Hastane yönetimi için gözlemci
  • Medula sistemi için ileri düzey
  • Poliklinikler için Oku-yaz-sil
  • Servis takip için Oku-yaz-sil
  • Diğer birimler için oku-yaz yetkisi verilmekte ancak birim sorumlularının belirlediği kişilere oku-yaz-sil olarak yetkilendirme yapılmaktadır.
  •  Raporlama işlemleri için oku şekilde yetkilendirme yapılmıştır.
  • Yetki değişikliği talebi ve değişiklik onay yetkilisi tanımlanmıştır.

    • 6.13.HBYS üzerinde yapılan işlemler izlenebilir olmalıdır.
  • Hastanemizde HBYS salt okunur özellikte ayrı bir veritabanı vardır.  Veritabanı sisteme giriş yapan kullanıcılar gerçekleştirdikleri işlemler,  sistem ayarlarında gerçekleştirilen değişiklikler, sistem mesajları ve hatalar ile ilgili kayıtlar kayıt altına alınır. Bu veritabanına da sadece bilgi sisteminde yönetici olarak yetkilendirilmiş kişiler ulaşılabilmektedir. 

    • 6.14.HBYS’de oluşan sorunların çözümüne yönelik düzenleme yapılmalıdır.
  • Sisteme veri girişi ile ilgili kullanıcı hataları acil olarak telefon veya arıza bildirim ekranı aracılığı ile Bilgi İşlem yazılım-donanım- destek birimine bildirilir ve en kısa sürede hatalı/yanlış bilgi düzeltilir, eksik bilgi tamamlanır. Donanım arızaları HBYS üzerindeki Arıza Bildirim ekranı veya telefon aracılığı ile Bilgi İşlem Birimine bildirilir. Arızalara müdahale önceliği Tıbbi Hizmet Birimleri Mali Hizmet Birimleri ve İdari Hizmet Birimleri şeklindedir. Sorunun giderilinceye kadar işlerin aksamamasına yönelik olarak ilgili birime donanım desteği sağlanır.
  • Mesai sonrası, hafta tatili, Resmi ve Dini Bayramlarda ise nöbetçi memur tarafından santralden bilgi işlem personeli aranılarak bildirim yapılır.

     

    HBYS de oluşabilecek sorunlar ve Çözümleri

    Birim Adı                        Hatanın Tanımı                    Çözüm

    Ayaktan hasta Kabul    Kullanıcı Hatası                    Yanlış Veri düzeltilir ve kullanıcıya eğitim verilir

    Yatan Hasta Kabul         Kullanıcı Hatası                    Yanlış Veri düzeltilir ve kullanıcıya eğitim verilir

    Vezne                              Kullanıcı Hatası                    Yanlış Veri düzeltilir ve kullanıcıya eğitim verilir

    Poliklinik                        Kullanıcı Hatası                    Yanlış Veri düzeltilir ve kullanıcıya eğitim verilir

    Cihaz Takip                    HBYS                                     Teknik Birimler

    Laboratuar                    Donanım                               Acil hallerde Arıza Bitinceye kadar manuel çalışma

    İdari Birimler               HBYS/donanım                     Arızanın durumuna göre müdahale

    Tüm Birimler                Network                                Teknik olarak anında müdahale

    Veri tabanı arızası        Yazılım                                   Anında Müdahale (Veri Merkezi bildirim)

     

  •  HBYS tekrar aktif olduğunda bu süreçte elde edilen veriler HBYS’ye birimlerin kendileri tarafından veri doğruluğu kontrol edilerek ve bilgi işlem teknik ekibinin belirlediği metotla kaydedilir.
  • HBYS ile ilgili sorumlular ve çözümler kayıt altına alınırken;
  • Sorunun oluştuğu tarih ve saat,
  • Bildirimin yapıldığı tarih ve saat,
  • Sorunun çözüldüğü tarih ve saat kayıt altına alınır.
  • Sorunlar ile ilgili olarak birim ve kullanıcı bazında hata sayısı,  birim ve kullanıcı bazında hata nedeni,  sorunun oluştuğu saat ve bildirimin yapıldığı saat arasındaki süre,  bildirimin yapıldığı saat ve soruna müdahale saati arasında geçen süre sorunun giderilme sürelerini kapsayan aylık istatistiksel çalışma yapılır. Sorunlar ile ilgili düzeltici önleyici faaliyet başlatılır.  

    • 6.15.DİĞER UYGULAMALAR
      • 6.15.1.Bilgi İşlem Altyapısı: 
  • Bilgi İşlem çalışmaları için bir Network Ağı sağlanır. Ağa bağlı veya bağlanacak bilgisayarlar yönetimini organize etmek üzere  (switch,  cat 6 kablo,  RJ45 connector) malzeme temin edilir. Tüm faaliyetleri yürütmek ve kayıt altına almak amacıyla, HBYS ve ayrıca Sağlık Bakanlığı ve Sağlık Müdürlüğü direktifleri ile kurum ihtiyaçları doğrultusunda Hastane Otomasyon Sistemi kurulur.  Laboratuar Hizmetleri için Laboratuar Cihazları tedarikçisinin sağlamış olduğu yazılım kullanılır.  Bu yazılım Hastane Bilgi yönetim sistemi ne entegre edilir.
  • Bilgisayar donanım ve yazılımlarının güncel envanteri oluşturulur. Envanterde; bu yazılım ve donanımların bulunduğu bölüm, marka, model, seri no, demirbaş numarası, donanım ve yazılım adı,  işletim sistemi,  ek aksamlar,  alınma tarihi,  varsa garanti süresi gibi bilgileri kapsamalıdır.

    • 6.15.2.Bilgi İşlem Birimi Faaliyetlerinde Görev Alan Personel
  • Bilgi İşlem Birimi Başhekim,  Hastane Müdürü,  Sorumlu Memur ve hastanenin kendi yapmış olduğu hizmet alımı ile görevlendirdiği personel ile otomasyon hizmeti satın alınan firmanın Hastane Otomasyon Hizmetleri Sözleşmesine göre sözleşmede belirtilen sayı kadar görevlendirdiği en az lise düzeyinde Bilgisayar Operatörlüğü veya Programcılığı Bölümü mezunu personelden oluşur.

    • 6.15.3. Hastane Otomasyon Hizmetleri Sözleşmesinin Kapsamı:
  • Çatalca İlyas Çokay Devlet Hastanesinde HBYS’ in kurulması ve verimli bir şekilde işletilmesidir. Hastane Bilgi Sistemleri (HBS) sadece hastane içi süreçleri etkileyen ve bu süreçlerden etkilenen bir yapı olmayıp diğer sistemlerle de veri alış verişi yapabilen sistemlere dönüşmüştür. 
  • Bu nedenle veri tabanında yer alan tüm verilerin gerektiğinde kullanılmak üzere başka bir veri tabanına eksiksiz aktarılması,  ihtiyaç duyulacak başka verilerin  (Kimlik Paylaşım Sistemi  (KPS), Çekirdek Kaynak Yönetim Sistemi (ÇKYS), elektronik faturalama süreçleri (MEDULA), Sağlık –NET vb,  Kan Merkezi,  , Merkezi Randevu Sistemi ve çalışma süresince eklenebilecek başka projelere ) diğer sistemlerden hastane sistemine elektronik olarak aktarılması,  sisteme veri aktarabilecek cihazların sistemle entegrasyonu,  hastane içi iş akış süreçlerinin iyileştirilmesi, kaynak tasarrufu sağlanması gibi beklentilere de cevap verir.  
  • Barkot okuyucuların, etiket ve kart basma makinelerinin kurulması ve işletilmesi, HBS ile bütünleşmiş ve çalışır hale getirilmesi,
  • Sıra yönetimi Merkezi Hastane Randevu Sistemi (MHRS), Tele-Tıp/Tele-Sağlık, vb.   (telefon ve internet,   v.b ) HBYS ile entegre edilmesi, Hastane web sitesi, Sağlık-  Net,  Performans Takip Sistemi vb. veri aktarılması,
  • Hastane idaresi tarafından belirlenen personele ve çalışanlara HBYS ile ilgili işlerini eksiksiz yapması için teorik ve pratik (uygulamalı) eğitim verilmesi, Yetkilendirilen yönetim ve birim şeflerinin bilgiye erişimlerinin sağlanması,  HBYS’in güvenlikli bir şekilde, hasta ve kişisel bilgilerin gizliliği esasına uygun olarak yürütülmesi, Hastane Otomasyon Hizmetleri Sözleşmesinin Kapsamı içindedir. İlgili sorunlar için aylık istatistiksel çalışma yapılması,  kayıt tutulması ve muhafaza edilmesi.

    • 6.15.4.Bilgi Güvenliği Politikası: 
  • Bu politikanın belirlenmesinde ki amaç, Çatalca İlyas Çokay Devlet Hastanesi, çalışanlar ve hastalarına ait bilgilerin yönetimini, kontrolünü,  korunmasını ve dağıtılmasını belirlemektir. Bu politikanın oluşturulması ile bilgilerin sadece yetkili kişilerce erişilebilirliği, yetkisiz kişilerce değiştirilmesinin engellenmesi ve farkına varılması ve bilginin sadece yetkili kişilerce ihtiyaç anında kullanılabilir olması sağlanmıştır.

    Hastanemizde pek çok işlem bilgisayar ve bilgisayar ağları üzerinden yapıldığından bilgi güvenliğine ihtiyaç duyulmaktadır.

  • Bu politika,  kurum bilgi işlem altyapısını kullanan tüm birim ve kişiler ile bilgi işlem altyapısına destek sağlayan hizmet, yazılım ve donanım sağlayıcıları kapsar.
  • Bilgi Güvenliği politikası ile kurum güvenilirliğinin ve imajının korunmasının sağlanması, kurumun temel ve destek hizmetlerinin kesintisiz devamı ve kurum faaliyetleri ile hasta ve çalışan bilgililerinin yetkili kişilerce izlenebilir olması hedeflenmiştir.
  • Çatalca İlyas Çokay Devlet Hastanesi Bilgi Güvenliğinin sağlanması amacı ile hastane bilgi yönetim sistemine veri giriş, yetkilendirme ve kontrol düzeyleri belirlenmiştir.

    • 6.15.5. Hastane Otomasyon Sistemini Oluşturan Modüller ve Yetkili Kullanıcılar:

       

      Modül Adı                     Yazılım             Kullanıcılar

      Ayaktan hasta Kabul    HBYS                  Hasta kabul işlemleri

      Yatan Hasta Kabul        HBYS                  Servisler

      Vezne                              HBYS                  Vezne

      Poliklinik                        HBYS                    Poliklinikler

      Cihaz Takip(Lab)           HBYS                    Teknik Birimler

      Laboratuar                    HBYS                    Laboratuar

      Eczane                             HBYS                   Eczane

      Radyoloji                        HBYS                   Radyoloji Birimleri

      Doğum ve ameliyathane HBYS               Ameliyathane

      Faturalama                     HBYS                   Fatura ve tig

      İstatistik                        HBYS                     İstatistik

       

  • Hastane otomasyon sisteminde veri girişleri yukarıda belirtilen modüllere belirtilen yetkiler çerçevesinde,  hastanemiz tıbbi sekreterleri,  hemşireler,  hastane memurları ve veri hazırlama elemanları tarafından yapılır.
    • 6.15.6.Arızaların Bildirimi ve Giderilmesi
  • Sisteme veri girişi ile ilgili kullanıcı hataları ve donanım arızaları arızanın çeşidine göre arıza bildirim ekranı aracılığı ile bölüm sekreteri tarafından bildirilir ve bilgi işlem tarafından en kısa sürede düzeltilir. Arızanın bildirilmesi ve takibi bölüm sekreterinin sorumluluğundadır.

    • 6.15.7.Şifre güvenliği ve Şifre tanımı:

      Oluşrurulacak şifrenin geçerli olabilmesi için güvenlik düzeyinin %50 üzerinde olması gerekmektedir. Bunun için şifrede;

      1.  Büyük/Küçük harf
      2. Sayılar
      3. Özel karakterler
      4. Noktalama işaretleri nden en az 2 sinin bulunması gerektedir.
      5. Şifre en az 5 karekterden oluşacak olup en az üstteki iki maddeden de karekter bulundurmayan şifre %50 düzeyini geçemeyecektir.