1. Amaç, Kapsam ve Sorumluluk
Amaç: Hastane bilgi varlıklarını etkileyebilecek tüm potansiyel riskleri sistematik olarak belirlemek, analiz etmek, değerlendirmek ve bu risklere uygun müdahale planları oluşturmaktır.
Kapsam: SBYS, LBYS, PACS dahil tüm kritik BYS alt sistemleri, donanım, ağ altyapısı ve bu sistemleri kullanan personel süreçleri.
Sorumlu: Bilgi Güvenliği Yönetim Kurulu (BGYK) ve Bilgi İşlem Birimi.
2. Risk Yönetimi Adımları
- Risk Belirleme:
BGYK ve Bilgi İşlem personeli (Hakan Gökmen ÇİFCİ, Aslı ZİNAL vb.) periyodik (yılda en az 1 kez) veya olağanüstü durumlarda riskleri (DBY03.02) ile belirler.
- Risk Analizi ve Değerlendirme:
Riskler; Olasılık (O) (1:Çok Düşük - 5:Çok Yüksek) ve Etki (E) (1:Önemsiz - 5:Facia) kriterlerine göre puanlanır. Risk Puanı = O x E. (Kabul Edilebilirlik Eşiği: 12 olarak belirlenmiştir.)
- Risk İşleme (Aksiyon) Kararı:
Puanı 12 ve üzeri olan riskler için (Kırmızı Alan), riskin işlenmesi amacıyla DBY03.03 Risk Aksiyon Planı hazırlanır. Risk işleme seçenekleri: Kabul Etme, Azaltma, Transfer Etme, Önleme.
- İzleme ve Gözden Geçirme:
Aksiyon Planı uygulandıktan sonra risk puanı tekrar hesaplanır (Kalıntı Risk). Tüm risk süreçleri BGYK tarafından 6 ayda bir gözden geçirilir.