Bilgi Yönetim Sistemi (BYS) Politikası
20 Ekim 2025

Erciş Şehit Rıdvan Çevik Devlet Hastanesi - Bilgi Yönetim Sistemi (BYS) Politikası

Erciş Şehit Rıdvan Çevik Devlet Hastanesi
Bilgi Yönetim Sistemi (BYS) Politikası

1. BYS'nin Amaç ve Kapsamı

Amaç:

Hastanenin tanı, tedavi, idari ve destek hizmetlerinde kullanılan tüm bilgi ve bilgi sistemlerinin güvenliğini, gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak, yasal mevzuata (KVKK, Kişisel Sağlık Verileri Hakkında Yönetmelik vb.), etik ilkelere ve ulusal/uluslararası standartlara uygun bir bilgi yönetimini güvence altına almaktır.

Kapsam:

Bu politika, Erciş Şehit Rıdvan Çevik Devlet Hastanesi bünyesindeki tüm bilgi varlıklarını (veri, yazılım, donanım, fiziksel ve sanal ortamlar), bilgi sistemlerini kullanan/erişen tüm personeli (sürekli, sözleşmeli, taşeron), stajyerleri, tedarikçileri ve üçüncü tarafları kapsar.

2. Bilgi Güvenliği Temel İlkeleri (C-I-A)

Bilgi güvenliği yönetimi, aşağıdaki üç temel ilkeye odaklanmıştır:

  • Gizlilik (Confidentiality): Yetkisiz erişim, ifşa, değiştirme veya yok etmeye karşı hasta verileri (sağlık kayıtları, kimlik bilgileri), personel bilgileri ve kurumsal bilgilerin korunmasını sağlamak.
  • Bütünlük (Integrity): Bilginin ve işleme yöntemlerinin eksiksiz ve doğru olmasını, yetkisiz değişikliklerden korunmasını sağlamak.
  • Erişilebilirlik (Availability): Yetkili kullanıcıların ihtiyaç duydukları bilgilere ve bilgi sistemlerine gerektiğinde erişebilmelerini sağlamak.

Genel Güvenlik Hükümleri:

  • Sorumluluklar: Tüm personel, bilgi güvenliği politikası ve prosedürlerine uymakla yükümlüdür. Şüpheli durumlar derhal Bilgi İşlem Birimi'ne raporlanır.
  • Erişim Kontrolü: Tüm sistemlere erişim, göreve dayalı yetkilendirme (Bilinmesi Gereken Prensip) esasına göre verilir ve düzenli olarak gözden geçirilir. Güçlü parola politikası uygulanır.

3. BYS'yi Oluşturan Alt Sistemler

Hastanenin BYS'si, bilgi akışını ve hizmet sunumunu destekleyen temel alt sistemlerden oluşur:

  • Sağlık Bilgi Yönetim Sistemi (SBYS/HBYS): Hasta kabul, poliklinik, laboratuvar, radyoloji, faturalandırma, depo vb. temel süreçlerin yönetildiği merkezi yazılım.
  • Laboratuvar Bilgi Yönetim Sistemi (LBYS): Laboratuvar tetkiklerinin takibi, sonuçların elektronik ortamda iletilmesi ve arşivlenmesi.
  • Görüntü Arşivleme ve İletişim Sistemi (PACS): Radyolojik görüntülerin (MR, BT, Röntgen vb.) dijital olarak depolanması, iletilmesi ve görüntülenmesi.
  • Kurumsal Web Sitesi: Hastane hizmetleri, duyurular ve kurumsal bilgilerin yayınlandığı platform.
  • E-posta Sistemi: Kurumsal yazışmalar için kullanılan güvenli elektronik iletişim sistemi.
  • Dosya Sunucu / Merkezi Depolama: Kurumsal dokümanların ve ortak kullanılan dosyaların güvenli bir şekilde depolandığı ve yedeklendiği sistemler.
  • Diğer Sistemler: Tıbbi Cihaz Entegrasyonları, Zaman Yönetim Sistemi, Malzeme Takip Sistemi vb.

4. SBYS İşletimi ve Değişiklik Yönetim Süreçleri

  • İşletim: SBYS'nin kesintisiz, güvenli ve performanslı çalışması için Bilgi İşlem Birimi sorumludur. Kullanıcı yetkilendirmeleri ve rol tanımlamaları prosedürlere uygun yapılır.
  • Değişiklik Yönetimi: SBYS üzerinde yapılacak tüm güncellemeler, yeni modül eklemeleri veya konfigürasyon değişiklikleri için standart bir süreç izlenir: Talep $\rightarrow$ Analiz ve Onay $\rightarrow$ Test $\rightarrow$ Uygulama $\rightarrow$ Kayıt.
  • SBYS Veri Güvenliği: Hasta ve kurumsal verilerin gizliliği, yasal gerekliliklere uygun olarak SBYS üzerinde gerekli şifreleme ve erişim denetimleri ile sağlanır.

5. Bilgi Sistem Donanım ve Alt Yapı Yönetimi

  • Envanter Yönetimi: Tüm donanım, ağ cihazları ve yazılımların güncel envanteri tutulur.
  • Bakım ve Onarım: Bilgi sistem altyapısının (Sunucular, ağ cihazları, kablolama vb.) periyodik bakımları yapılır. Arıza durumlarında hızlı müdahale için süreçler tanımlanmıştır.
  • Güvenlik: Kritik altyapı bileşenleri fiziksel ve siber güvenlik önlemleriyle korunur.
  • Talep Yönetimi: Yeni donanım, yazılım veya altyapı ihtiyacı, resmi talep formu ile Bilgi İşlem Birimi'ne iletilir ve hastane yönetimi onayına sunulur.

6. Varlık Yönetimi

  • Tanımlama ve Sınıflandırma: Hastaneye ait tüm bilgi varlıkları (donanım, yazılım, veri) tanımlanır ve gizlilik/kritiklik düzeyine göre sınıflandırılır (Örn: Kritik, Gizli, Genel).
  • Sahiplik: Her bilgi varlığının bir sahibi (sorumlusu) belirlenir. Varlık sahibi, varlığın korunmasından sorumludur.

7. İş Sürekliliği Yönetimi

  • Planlama: Kritik iş süreçleri ve bunları destekleyen BYS bileşenleri için İş Sürekliliği ve Felaket Kurtarma Planları hazırlanır.
  • Acil Durum Müdahalesi: Elektrik kesintisi, siber saldırı, doğal afet gibi durumlarda BYS'nin kesintisiz çalışmasını sağlamak için prosedürler oluşturulur.
  • Test: İş sürekliliği planları, düzenli aralıklarla tatbikat ve testler ile kontrol edilir.

8. Yedekleme

  • Kapsam: SBYS, LBYS, PACS, e-posta ve dosya sunucusu dâhil tüm kritik veriler yedeklenir.
  • Yöntem ve Sıklık: Veri kritiklik düzeyine göre günlük/haftalık tam veya artımlı yedekleme yöntemleri kullanılır.
  • Saklama: Yedekler, güvenli ortamlarda saklanır. Kritik yedeklerin coğrafi olarak farklı bir yerde (uzak yedekleme) tutulması sağlanır.
  • Geri Yükleme: Yedeklerin geri yüklenebilirliği, periyodik olarak test edilir ve kayıt altına alınır.

9. Bilgi Teknolojileri İmha Yönetimi

Kullanım ömrünü tamamlamış veya arızalı bilgi teknolojileri (BT) ekipmanları üzerindeki verilerin kurtarılamaz şekilde yok edilerek veri sızıntısı riskini ortadan kaldırmak esastır.

Temel Süreç:

  1. Kullanımdan Çekme tutanakla (HEK raporu) karara bağlanır.
  2. Atılacak diskler, sunucular ve diğer depolama birimleri üzerindeki veriler, fiziksel imha (delme, parçalama) veya güvenli veri silme yazılımları (overwrite) kullanılarak geri dönülmez şekilde imha edilir.
  3. İmha işlemi, tarih, ekipman seri numarası ve yöntemi belirten bir tutanakla kayıt altına alınır.
  4. İmha edilen donanımlar, ilgili yasal mevzuata uygun olarak (e-atık) bertaraf edilmek üzere Ayniyat Birimi aracılığıyla sevk edilir.