Transcript 4. Bilgi Yönetimi

Bilgi Yönetimi Süreci
Dt.İrem ÖZEN
Kalite Direktörü
•Günümüzde
bilgiye
sürekli
erişimi
sağlamak ve bu bilginin son kullanıcıya
kadar bozulmadan, değişikliğe uğramadan
ve başkaları tarafından ele geçirilmeden
güvenli bir şekilde sunulması zorunluluk
haline gelmiştir.
•Siber dünyada barış ve savaş durumunun
zaman ve mekan sınırları belirsizleşmiştir.
Bilgi güvenliği (BG)
En genel tanımıyla bilginin, üretim ve hizmet
sürekliliği sağlamak, parasal kayıpları en aza
indirmek üzere tehlike ve tehdit alanlarından
korunmasıdır.
Bilgi Yönetiminin Temel Amacı;
•Veri
bütünlüğünün korunması,
• Yetkisiz erişimin engellenmesi,
•Mahremiyet ve gizliliğin korunması
•Sistemin devamlılığının sağlanmasıdır.
Bilgi-Bilişim Güvenliği Yönetimi
Nasıl Sağlanır?
Yönetsel
Önlemler
Teknoloji
Uygulamaları
Eğitim ve
Farkındalık
Yaratma
Bilgi Yönetimi Standartları
Yazılım-donanım destek birimi bulunmalıdır.
Yazılım-donanım destek birimi 24 saat kesintisiz hizmet
sunmalı,
Yazılım-donanım destek birimi çalışanlarının güncel iletişim
bilgileri santralde bulunmalıdır.
Hastane Bilgi Yönetim Sistemi (HBYS)'nde yer
alan modüller tek bir veri tabanı üzerinden
yönetilmelidir.
HBYS’de yer alan temel modüllerin tümü aktif olarak
kullanılmalı; (Hasta Kayıt, Hasta Yatışı, Poliklinik, Klinik, Eczane,
Depo, Satın alma, Ayniyat, Laboratuar, Vezne, Faturalandırma,
Radyoloji, Personel modülü bulunmalıdır.)


Bölümlerin malzeme ve demirbaş istemlerinin;
Yapılması,
Onaylanması,
Satın alınması,
Depoya teslim edilmesi,
Bölümler tarafından teslim alınması HBYS
gerçekleştirilmelidir.
üzerinden
HBYS’de personel bilgi modülü bulunmalıdır.
Personel bilgi modülünde çalışanların; Fotoğrafı, Çalıştığı
bölüm, Kan grubu, İletişim bilgileri, İzin ve rapor bilgileri, Eğitim
durumu, Sertifikaları, Hizmet içi eğitimleri, Yabancı dil bilgisi
güncel olarak yer almalıdır.
HBYS’ye bağlı tüm bilgisayarlara yönelik düzenleme
yapılmalıdır.Bu düzenleme ise;
Bilgisayar donanım ve yazılımlarının güncel envanteri
oluşturularak yapılır. Envanterde;
Bulunduğu bölüm,
marka, model, seri no,
demirbaş numarası,
donanım ve yazılım adı,
işletim sistemi, ek aksamlar,
alınma tarihi, varsa garanti süresi bulunmalıdır.
Bilgi güvenliğini sağlamaya yönelik düzenleme yapılmalıdır.
•
Bilgi güvenliğini sağlamaya yönelik yazılı düzenleme bulunmalıdır.
Yazılı düzenleme;
Sunucuların güvenliği,
Yedekleme,
Kişisel sağlık kayıtlarının güvenliği,
İnternet erişim ve kullanımı,
e-posta kullanımı,
Şifre kullanımı,
Uzaktan erişim,
Kablosuz erişim konularını kapsamalıdır.
•
Bilgi güvenliğinden sorumlu bir ekip oluşturulmalı.
Hastane üst yönetiminden bir kişi ekibe başkanlık etmeli,
Ekip;
Bilgi güvenliği ile ilgili mevcut durumu tespit etmeli,
Bilgi güvenliği için olası riskleri belirlemeli,
Tanımlı kullanıcılar için yapılan yetki değişikliklerini izlemeli,
Gerektiğinde düzeltici önleyici faaliyet başlatmalıdır.

Tüm bilgisayarlarda merkezi sunucu tarafından kontrol edilebilen
lisanslı antivirüs yazılımı olmalıdır.

Bilgi güvenliği konusunda çalışanlara eğitim verilmelidir.
•
Sunucu odalarının güvenliği sağlanmalıdır.
Sadece sunuculara tahsis edilmiş bağımsız bir oda olmalıdır.





Yetkisiz personelin girişi engellenmelidir.
Suya karşı iyi bir yalıtıma sahip olmalıdır.
Hastanedeki diğer kesintisiz güç kaynaklarından bağımsız bir
kesintisiz güç kaynağı bulunmalıdır.
Sıcaklık 18-22 °C; nem % 30 - % 50 arasında olmalıdır.
Odalarda yedekli olarak çalışan klima bulunmalıdır.

•
•
Sunucunun güvenliğini sağlamaya yönelik tedbirler
alınmalıdır.
Kurumda bulunan bütün sunucuların kayıtları tutulmalıdır.
Bu kayıtlarda:
Sunucunun yeri,
Sorumlu kişisi,
Donanım,
İşletim sistemi üzerinde çalışan uygulama bilgileri yer almalıdır.
Sunucu üzerinde çalışan işletim sistemleri, hizmet sunucu
yazılımları ve antivirüs gibi koruma amaçlı yazılımlar
güncel olmalıdır.
Sunucuların yazılım ve donanım bakımları üretici firmanın
uygun gördüğü sürelere göre yapılmış olan planlar
dahilinde yetkili kişiler tarafından yapılmalıdır.
Veritabanı güvenliğini sağlamaya yönelik tedbirler alınmalıdır.





Veritabanı sistem logları tutulmalı ve gerektiğinde idare
tarafından izlenebilmelidir.
Veritabanı ile ilgili sorumlu kişilerin iletişim bilgileri
bulunmalıdır.
Kullanıcıların arayüze bağlanmak için kullandıkları şifreler
şifreli bir şekilde saklanmalıdır.
Veritabanı üzerinde loglanması gereken işlemler
belirlenmelidir.
Kullanıcılar veritabanına yapılacak müdahale (yama ve
güncelleme vb.) öncesinde bilgilendirilmelidir.
Dış ortamdan iç ortama erişimlerde güvenlik tedbirleri
alınmalıdır.
Hastaneye destek hizmeti veren firmanın dış ortamdan iç
ortama hangi durumlarda erişim yapacağı hakkında hastane
tarafından onaylanmış gizlilik sözleşmesi bulunmalıdır.
Dış ortamdan iç ortama yapılan erişimler kayıt altına
alınmalıdır.
Hastane bilgi sisteminde yetkilendirme yapılmalıdır.
• Her kullanıcının veri tabanında hangi bilgilere erişebileceği
tanımlanmalıdır.
• Çalışanlar yetki düzeyleri ile ilgili olarak bilgilendirilmeli,
• Bilgilendirme ve yetki düzeyi kayıt altına alınmalı,
• Aynı görevi icra eden çalışanlar aynı yetki gruplarına sahip olmalıdır.
HBYS üzerindeki verilerin yedeklenmesine yönelik düzenleme
bulunmalıdır.
• Yedekleme her gün HBYS’nin çalıştığı sunucu haricindeki bir
ortamda düzenli olarak yapılmalı,
Yedekleme; harici bellek, taşınabilir kayıt ortamları veya ağ üzerinde çalışan
yedek sunucu gibi bir ortamda olmalıdır.
•

Yedekleme ortamı, fiziksel olarak HBYS’nin üzerinde çalıştığı
alanlardan faklı bir alanda, mümkünse farklı binada
saklanmalıdır.
Veriler offline(çevirimdışı,ulaşılamaz) ortamlarda süresiz
olarak saklanmalıdır.
Yedekleme işlemi görevli personel tarafından belirlenen
sürelerde (örneğin;mesai bitimi ve gün bitimi)ve günlük
olarak yapılmalıdır. Harici bellek, taşınabilir kayıt ortamları
gibi ortamlara yapılan tüm yedeklemelerde ,yedekleme
başlangıç ve bitiş tarihleri ortam üzerinde ,üst yönetimden
teslim alındığına dair imzalı bir tutanak karşılığında yapılmalı
ve bozulmasını önleyici ortamlarda (örneğin cd çantası)
saklanmalıdır.

Yedeklemeler aracılığı ile yılda bir kez veri kurtarma testi
uygulanmalı;
Yedeklemeden geri dönüşün sağlanıp sağlanmadığı ve veri kaybının
olup olmadığı kontrolü için yazılım firması tarafından idarenin belirlediği
bir verinin (harici bellek, taşınabilir kayıt ortamları vb.) incelemesi
yapılmalıdır.
Test kayıt altına alınmalı,
Gerektiğinde düzeltici önleyici faaliyet başlatılmalıdır.
HBYS üzerinde yapılan işlemler izlenebilir olmalıdır.
 Salt okunur özellikte ayrı bir veritabanı ya da tablo mevcut
olmalıdır.
 Veritabanı ya da tablolarda sisteme giriş yapan kullanıcılar,
gerçekleştirdikleri işlemler, sistem ayarlarında
gerçekleştirilen değişiklikler, sistem mesajları ve hatalar ile
ilgili kayıtlar yer almalıdır.
 Bu veritabanı ya da tablolara sadece bilgi sisteminde
yönetici olarak yetkilendirilmiş kişiler ulaşabilmelidir.




•
HBYS’de oluşan sorunların çözümüne yönelik düzenleme
yapılmalıdır.
HBYS ile ilgili sorunlarda çalışanların kiminle nasıl irtibat
kuracağı belirlenmelidir.
Sorun giderilinceye kadar işlerin aksamamasına yönelik
yapılması gerekenler bölüm bazında belirlenmelidir.
HBYS tekrar aktif olduğunda bu süreçte elde edilen
verilerin HBYS’ye kim tarafından ve nasıl kaydedileceği
belirlenmelidir.
HBYS ile ilgili sorunlar ve çözümler kayıt altına alınmalı,
Sorunun oluştuğu tarih ve saat,
Bildirimin yapıldığı tarih ve saat,
Sorunun çözüldüğü tarih ve saat kayıt altına alınmalıdır.
Sorunlar ile ilgili aylık istatistiksel çalışma yapılmalı,
Sorunlar ile ilgili gerekli düzeltici önleyici faaliyet başlatılmalıdır.
TEŞEKKÜRLER