Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesi

bluemoon24 · 18-10-2009, 03:26 PM

06.06.2007 tarihli ve 5228 sayılı makam onayı ile yürürlüğe girmiştir.Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesinde Değişiklik Yapılmasına Dair YönergeMADDE 1- Bakanlık Makamının 06.11.2001 tarih ve 10588 sayılı olurlarıyla yürürlüğe giren Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesinin Ek 1 inci maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiş, birinci fıkradan sonra gelmek üzere aşağıdaki fıkralar eklenmiştir.Kurumlarda kağıt üzerinde tutulan, kurum dışına çıkmayan ve hukuken ıslak imza gerektirmeyen poliklinik defterleri, laboratuar defterleri, yatan hasta takip kartları, anamnez formları, tedavi takip kartları gibi sağlık kayıtları ve belgeleri, lüzumu halinde istenilen içerik ve formatta çıktıları alınacak şekilde olmak şartıyla, elektronik imza uygulamaları yaygınlaşana kadar, Ek-5 de belirlenen standart ve kurallar çerçevesinde gerekli yedekleme ve güvenlik önlemleri alınarak yapılandırılan kurumlar sadece elektronik ortamda tutabilir, iş ve işlemler bu ortamda gerçekleştirilebilir.Sağlık kurumlarımızda kullanılmakta olan tüm bilgi sistemlerinde gerek veritabanından gerekse kullanılan uygulama yazılımları arayüzlerinden (Hastane Bilgi Sistemleri, Aile Hekimliği Bilgi sistemleri, Birinci Basamak Sağlık Kurumları Bilgi sistemleri vb.) geçmiş kayıtlardaki kapanmış, onaylanmış ve sonuçlandırılmış işlemlere ait verilerde değiştirme, silme ve ekleme yapılamaz. Son kullanıcılara sadece okuma ve raporlama yetkisi verilir.Herhangi bir nedenden (teknik, programatik, mevzuat vb.) kaynaklanan zorunlu haller söz konusu olduğu takdirde bunun için gerekli değiştirme, silme ve ekleme yapma yetkisi, ilgili sağlık kurumunun en üst amirine aittir. Bu değişikliklere ait detaylı loglar mutlaka tutulmalıdır.MADDE 2- Aynı Yönerge'ye ek'teki Ek-5 eklenmiştir.MADDE 3- Bu Yönerge Bakan onayını müteakiben yürürlüğe girer. MADDE 4- Bu Yönerge hükümlerini Sağlık Bakanı yürütür.EK-55.1. KRİZ / ACİL DURUM YöNETİMİBilgi sistemlerinin kesintisiz çalışabilmesi için gerekli önlemler alınmalıdır. örneğin, uygulama veya veri tabanı sunucularında donanım ve yazılıma ait problemler oluştuğunda, yerel veya uzak sistemden yeniden kesintisiz (veya makul kesinti süresi içerisinde) çalışma sağlanabilmelidir. Kümeleme (cluster) veya uzaktan kopyalama (remote replication) çözümleri hayata geçirilmelidir. Hastaneler, sistemlerini tasarlarken ne kadar süre ile ve ne kadar performans kaybını tolere edeceklerini göz önüne almalıdırlar. Kurum çalışanlarının, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartlar şunlardır.5.1.1. Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir.5.1.2. Acil durumlarda kurum içi işbirliği gereksinimleri tanımlanmalıdır.5.1.3. Acil durumlarda sistem log'ları incelenmek üzere saklanmalıdır.5.1.4. Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma oluşturulmalıdır.5.1.5. Yaşanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar doğrultusunda revize edilmelidir.5.1.6. Bir güvenlik ihlali yaşandığında ilgili sorumlulara bildirimde bulunulmalı ve bu bildirim süreçleri tanımlanmış olmalıdır.5.1.7. Acil Durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır: o Seviye A: Bilgi kaybı. Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.o Seviye B: Servis kesintisi. Kurumsal servislerin kesintisi veya kesintisine yol açabilecek durumlar.o Seviye C: Şüpheli durumlar. Yukarıda tanımlı ilk iki seviyedeki duruma sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.5.1.8. Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu riskler oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir. 5.1.9. Acil durumlarda bilgi güvenliği yöneticisine erişilmeli, ulaşılamadığı durumlarda koordinasyonu sağlamak üzere önceden tanımlanmış ilgili yöneticiye bilgi verilmeli ve zararın tespit edilerek süratle daha önceden tanımlanmış felaket kurtarma faaliyetleri yürütülmelidir. 5.1.10. Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal zeminde incelenmek üzere ilgili makamlara iletilmelidir. 5.1.11. Olayın türü ve boyutuna göre emniyet veya diğer kurumlara başvurmak gerekebilir. Bu özel olaylar (hırsızlık vb), başvurulacak kurumlar, başvuru şekli (telefon, dilekçe vb), başvuruyu yapacak kurum yetkilisi önceden belirlenmiş ve dokümante edilmiş olmalıdır. 5.2. BİLGİ SİSTEMLERİNDE YEDEKLEMEBilgi sistemlerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en az düzeye indirmek için, sistemler üzerindeki konfigurasyon, sistem bilgilerinin ve kurumsal verilerin düzenli olarak yedeklenmesi gerekir. Sunucular ve veri depolama üniteleri yedekli olarak aynı veya uzak ortamlarda çalışmalıdır. Verinin de operasyonel ortamda online olarak aynı disk sisteminde farklı disk volümlerde ve offline olarak Manyetik kartuş, DVD veya CD ortamında yedekleri alınmalıdır. Taşınabilir ortamlar (Manyetik kartuş, DVD veya CD) fiziksel olarak bilgi işlem odalarından faklı odalarda veya binalarda güvenli bir şekilde saklanmalıdır. Veriler offline ortamlarda süresiz olarak saklanmalıdır. Buna yönelik standartlar şunlardır.5.2.1. Kurumsal kritik verilerin saklandığı sistemler ile sistem kesintisinin kritik olduğu sistemlerin bir varlık envanteri çıkartılmalı ve yedekleme ihtiyacı bakımından sınıflandırılarak dokümante edilmelidir.5.2.2. Düzenli yedeklemesi yapılacak varlık envanteri üzerinde hangi sistemlerde ne tür uygulamaların çalıştığı ve yedeği alınacak dizin, dosya Bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilmelidir.5.2.3. Yedekleme konusu bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu konuyla ilgili sorumluluklar tanımlanmalı ve atamalar yapılmalıdır.5.2.4. Yedekleri alınacak sistem, dosya ve veriler dikkatle belirlenmeli ve yedeği alınacak sistemleri belirleyen bir yedekleme listesi oluşturulmalıdır.5.2.5. Yedek ünite üzerinde gereksiz yer tutmamak üzere, kritiklik düzeyi düşük olan veya sürekli büyüyen izleme dosyaları yedekleme listesine dahil edilmemelidir. 5.2.6. Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme listesi periyodik olarak gözden geçirilmeli ve güncellenmelidir.5.2.7. Yeni sistem ve uygulamalar devreye alındığında, yedekleme listeleri güncellenmelidir.5.2.8. Yedekleme işlemi için yeterli sayı ve kapasitede yedek üniteler seçilmeli ve temin edilmelidir. Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilmelidir.5.2.9. Yedekleme ortamlarının mümkünse düzenli olarak test edilmesi ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmalıdır.5.2.10. Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek etkinliklerinin doğrulanması ve operasyonel prosedürlerin öngördüğü süreler dahilinde tamamlanabileceğinden emin olunması gerekir.5.2.11. Yedek ünitelerin saklanacağı ortamların fiziksel uygunluğu ve güvenliği sağlanmalıdır.5.2.12. Yedekleme Standardı ile doğru ve eksiksiz yedek kayıt kopyalarının bir felaket anında etkilenmeyecek bir ortamda bulundurulması ve kritik bilgiler için en az üç nesil yedekleme bilgisinin tutulması gerekir.5.2.13. Veri Yedekleme Standardı; yedekleme sıklığı, kapsamı, gün içinde ne zaman yapılacağı, ne koşullarda ve hangi aşamalarla yedeklerin yükleneceği ve yükleme sırasında sorunlar çıkarsa nasıl geri dönüleceği, yedekleme ortamlarının ne şekilde işaretleneceği, yedekleme testlerinin ne şekilde yapılacağı ve bunun gibi konulara açıklık getirecek şekilde hazırlanmalı ve işlerliği periyodik olarak gözden geçirilmelidir.5.3. VERİ TABANI GüVENLİĞİKritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme, ekleme) loglanmalıdır. Log kayıtlarına idarenin izni olmadan kesinlikle hiçbir şekilde erişim yapılamamalıdır. Manyetik kartuş, DVD veya CD ortamlarında tutulan log kayıtları en az 5 (beş) yıl süre ile güvenli ortamlarda saklanmalıdır. Veritabanı sunucularının güvenliği hakkında daha detaylı bilgi ve uyulması gereken kurallar şunlardır. 5.3.1. Veritabanı sistemleri envanteri ve bu envanterden sorumlu personel tanımlanmalı ve dokümante edilmelidir.5.3.2. Veritabanı işletim kuralları belirlenmeli ve dokümante edilmelidir.5.3.3. Veritabanı sistem logları tutulmalı ve izlenmelidir.5.3.4. Veritabanı sistemlerinde tutulan bilgiler sınıflandırılmalı ve uygun yedekleme politikaları oluşturulmalı, yedeklemeden sorumlu sistem yöneticileri belirlenmeli ve yedeklerin düzenli alınması kontrol altında tutulmalıdır.5.3.5. Yedekleme planları dokümante edilmelidir.5.3.6. Veritabanı erişim politikaları Kimlik doğrulama ve Yetkilendirme politikaları çerçevesinde oluşturulmalıdır.5.3.7. Hatadan arındırma, bilgileri yedekten dönme kuralları Acil Durum Yönetimi politikalarına uygun olarak oluşturulmalı ve dokümante edilmelidir.5.3.8. Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında tutulmalıdır.5.3.9. Veritabanı sistemlerinde oluşacak problemlere yönelik bakım, onarım çalışmaları yetkili bir personel gözetiminde yapılmalıdır.5.3.10. Yama ve güncelleme çalışmaları yapılmadan önce bildirimde bulunulmalı ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmelidir.5.3.11. Bilgi saklama ortamlarının kurum dışına çıkarılması için yetkilendirme yapılması ve bu durumun izleme takip amacıyla kaydedilmesi gerekir.5.3.12. Sistem dokümantasyonu güvenli şekilde saklanmalıdır.5.3.13. İşletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için kurulacak temaslar belirlenmelidir.5.3.14. Veritabanı serverda sadece ssh açık olmalı ftp, telnet, remote vb. bağlantılara kapalı olmalıdır.5.3.15. Veritabanı servera veritabanı yöneticisi dışında hiçbir kullanıcı ssh bağlantı yapma yetkisi olmamalıdır.5.3.16. Application serverlardan veritabanına rlogin vb. şekilde erişememelidir.5.3.17. Veritabanı serverların şifresi sorumlu kişiler dışında bir zarfa yazılıp bantlanıp imzalanıp üst düzey yöneticisinin kasasında saklanmalıdır. Çok kritik bilgilere erişim için çift şifreleme mekanizması olmalıdır. Bu durumda en az iki kullanıcı bir şifreyi tamamlayacak olup birbirlerinin şifrelerini bilmeyeceklerdir.5.3.18. Arayüzden gelen kullanıcılar bir tabloda saklanmalı bu tablodaki kullanıcı adı ve şifreleri şifrelenmiş olmadır. 5.3.19. Veritabanında güvenliği önemli veriler mutlaka şifrelenmelidir. Bu sayede verileri taşınsa bile orjinallerine erişilmemesi sağlanır.5.3.20. Veritabanı servera root olarak hiçbir kullanıcı bağlanmamalı. Bağlanması gereken kişilere kendi adında belli yetkilerle kullanıcı oluşturulmalıdır. Bu kullanıcıların yaptıkları işlemler loglanmalıdır. Root şifresi sadece sistem yöneticisinde olmalıdır. 5.3.21. Veritabanında Veritabanı yöneticisi dışında SYSDBA,DBA yetkili kullanıcı olmamalıdır.5.3.22. Veritabanında bulunan farklı Schemaların kendi yetkili kullanıcısı dışındaki diğer kullanıcıların erişmesi engellenmelidir.5.3.23. Veritabanına internetten direkt bağlantı kesinlikle engellenmelidir.5.3.24. Veritabanı server a Sistem yöneticisi, Veritabanı Yöneticisi ve application server dışında hiçbir kullanıcı erişememelidir, ip bazında kısıtlana yapılmalıdır.5.3.25. Veritabanı servera kod geliştiren kullanıcı dışında hiçbir kullanıcı bağlanıp sorgu yapamamalıdır. İstekler arayüzden sağlanmalıdır.(Kullanıcılara tablolardan select yapamamalılar)5.3.26. Veritabanına giden veri trafiği şifrelenmelidir. (Networku dinleyen verilere ulaşamamalıdır.)5.3.27. Bütün şifreler düzenli aralıklarla değiştirilmelidir. Detaylı bilgi için şifreleme politikasına bakılmalıdır.5.4. ŞİFRELEMEŞifreleme, bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre, ağ güvenliğini tümüyle riske atabilir. Güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkındaki standartlar ve uyulması gereken kurallar şunlardır. 5.4.1. Genel Bilgiler5.4.1.1. Bütün sistem seviyeli şifreler (örnek, root, administrator, enable, vs) en az üç ayda bir değiştirilmelidir.5.4.1.2. Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her dört ayda birdir.5.4.1.3. Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır.5.4.1.4. Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.5.4.1.5. SNMP kullanıldığı durumlarda varsayılan olarak gelen public, system ve private gibi community string'lere farklı değerler atanmalıdır. 5.4.1.6. Kullanıcı, şifresini başkası ile paylaşmaması, kağıtlara yada elektronik ortamlara yazmaması konusunda eğitilmelidir.5.4.1.7. Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hes