YATAKLI TEDAVI KURUMLARI TIBBÎ KAYIT VE ARŞIV HIZMETLERI YÖNERGESI
(Sağlık Bakanı’nın 06.11.2001 tarih ve 10588 sayılı olurları ile yürürlüğe girmiştir. )
BIRINCI BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
Madde 1 – Bu Yönergenin amacı, yataklı tedavi kurumlarına muayene, teşhis ve tedavi amacıyla gelen hastalara, yaralılara, acil ve adlî vak’alara ait kayıtların, düzenlenen ve kullanılan dokümanların toplanmasına ve bu dokümanların hastaların daha sonraki başvurularında veya araştırmacılar veyahut adlî makamlarca her istenildiğinde derhal hazır bulundurulması için merkezi tıbbî kayıt ve arşiv sistemi içinde tasnif ve muhafaza edilmesine ilişkin usûl ve esasları belirlemektir.
Kapsam
Madde 2 – Bu Yönerge, Sağlık Bakanlığı’na bağlı yataklı tedavi kurumlarını ve bu kurumlardaki tıbbî kayıt ve arşiv hizmetlerini kapsar.
Dayanak
Madde 3 – Bu Yönerge, 13/1/1983 tarihli ve 17927 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Yataklı Tedavi Kurumları Işletme Yönetmeliği’nin 32 nci maddesine dayanılarak hazırlanmıştır.
Tanımlar
Madde 4 – Bu Yönerge’de geçen;
a) Hasta dosyası : Yataklı tedavi kurumlarına müracaat eden hastaların, muayene, teşhis ve tedavi evrakının muhafaza edildiği; A4 kağıdı boyutlarında, kenarlarında (EK-1) ve (EK-2)’de düzenlenen forma uygun renkli şeritler bulunan kartondan imal edilmiş ve iki kapaktan oluşan telli saklama aracını;
b) Vekil Dosya : Arşivden çıkarılan dosyaların dosya izleme fişiyle takip edilmesi amacıyla, asıl dosyanın yerine geçici olarak konulan ve asıl dosya ile aynı ebatlardaki, biri A4 kağıdı boyutunda diğeri büyük cebin üstünde dosya izleme fişinin konulacağı şeffaf iki ayrı cebi olan, (EK-3)’deki forma uygun olarak düzenlenen; araştırma için alınan ve diğer birimlere gönderilenlerin ayrı renkte olduğu plastik dosyayı;
ifade eder.
Organizasyon ve idare
Madde 5- Yataklı tedavi kurumlarında, idaresi ve organizasyonu aşağıdaki gibi olan bir merkezi tıbbî arşiv kurulur.
TIBBî KAYIT VE ARŞIV HIZMETLERI YÖNETIM VE ORGANIZASYON ŞEMASI
Merkezî tıbbî arşive konulacak dosyalar
Madde 6 – Merkezi tıbbî arşivde bütün servislere ve ayrıca Yataklı Tedavi Kurumları Işletme Yönetmeliği’nin 66 ncı maddesine göre yatırılan hastalara ait ve polikliniklerde işi biten dosyalar, bir sıra ve düzen içerisinde muhafaza edilir.
IKINCI BÖLÜM
Merkezî Tıbbî Arşivin Bölümleri, Hasta Dosyasına Konulacak Belgeler
Merkezî tıbbî arşivin bölümleri
Madde 7 – Merkezi tıbbî arşiv, şu bölümlerden oluşur:
a)Hasta endeksi bölümü,
b)Eksik dosyalar bölümü,
c)Dosyalama bölümü,
d)Tıbbî sekreterlik bölümü,
e)Tıbbî istatistik ve kodlama bölümü.
Eğitim ve araştırma hastaneleri ile yatak sayısı 400 ve daha fazla olan genel ve özel dal hastanelerinde adlî vakalara ait işlemlere ilişkin yazışmaların yürütülmesi ve araştırmacıların talep ettiği araştırma ve inceleme dosyalarını çıkartmak üzere bir araştırma ve haberleşme bölümü kurulur. Yatak sayısı 100’ün altındaki hastane arşivleri, bölümlere ayrılmaz.
Hasta endeksi bölümü
Madde 8 – Hasta endeksi bölümü; polikliniklere müracaat eden ve yatışı yapılan bütün hasta ve yaralıların dosyaları ile birlikte açılan endeks kartlarını (Form-1)’e uygun olarak alfabetik sıra içerisinde düzenlemek ve bilinmeyen hasta dosyası numaraları sorulduğunda, bunları temin etmekle yükümlüdür.
Eksik dosyalar bölümü
Madde 9 – Eksik dosyalar bölümü; yatan hastalar taburcu edildiğinde hasta kabul bölümünden liste karşılığı dosyaları günlük olarak teslim alıp analizlerini yaparak, eksik belgeleri tamamlar; epikrizlerini müdavi tabibe yazdırıp imzalatır; epikrizlerini yazmakta ihmâli görülen tabiplerin isimlerini baştabipliğe resmî yazı ile bildirir.
Dosyalama bölümü
Madde 10 – Bu bölüm hasta dosyalarının, “renkli kod sistemine” göre sıralanması, gerektiğinde polikliniklerden gelen dosya istek fişi formuna uygun olarak verilmesi, verilen dosya yerine vekil dosya konulması, her gün bütün polikliniklerden saat 15.00’de liste karşılığı alınan dosyaları yerine kaldırma işlemini yürütür.Dosyalama bölümü raporları ve M1’leri dosyalarına kaldırır. Yıpranmış olan dosyaların renk sistemine göre yenisini düzenler.Dosyaların bulunmasında zaman kaybını azaltmak, tasnifini kolaylaştırmak ve yanlış yere kaldırılmasını önlemek amacıyla her harfe bir renk gelecek şekilde yüzlük bölümler halinde son iki rakama renk verilmeden dosyalama sistemi açıklama formuna (EK-4) uygun renkli dosyalama sistemi oluşturulur.
Tıbbî sekreterlik bölümü
Madde 11 – Tabiplerin el yazısı ile yazılmış veya diktafonlara dikte edilmiş çıkış özeti, ameliyat notu gibi hasta ile ilgili çeşitli bilgilerin özel formlar üzerine daktilo edilmesi tıbbî sekreterlikçe yürütülür. Cumhuriyet savcılıklarından intikal eden müzekkerelerin takibinden ve cevaplandırılmasından bu bölüm sorumludur.
Hasta dosyasına konulacak belgeler
Madde 12 – Hasta dosyasında şu belgeler bulunmalıdır:
a)Hasta kabul kağıdı (Form 60),
b)Tıbbi müşahade ve muayene kağıdı (Form 62),
c)Derece kağıdı (Form 61),
d)Hasta tabelası (Form 51),
e)Röntgen istek kağıdı ve raporları (Form 64),
f)Laboratuvar istek kağıdı ve tetkik raporları (Form 65),
g)Ameliyat kağıdı (Form 63),
h)Hastanın muayene istek formu (Form 67),
i)Çıkış özeti (Form 67).
Hasta dosyaları (Form-2)’ye uygun olarak hastalık kodlama kartı doldurulmak suretiyle dosyalama bölümüne gönderilir.
Tıbbî istatistik ve kodlama bölümü
Madde 13 – Tıbbî istatistik ve kodlama bölümünün görevleri şunlardır;
a)Dünya Sağlık Teşkilatınca yayınlanan “150 Başlıklı Liste”deki tanılara göre 999, ameliyatlara göre 99 başlığa göre sınıflandırılıp kodlaması yapılır. Kodlaması yapılan dosyalar teşhis ve ameliyatlara göre ayrı ayrı karta geçirilerek kendi arasında sınıflanıp endeks kutularına kaldırılır.
b) Tıbbî araştırmalarda dosyalar, vekil dosya ve zimmet karşılığı araştırmacıya verilir.
c) Araştırma ve haberleşme bölümü kurulan hastanelerde araştırma ve inceleme dosyaları bu bölüm tarafından çıkartılır.
d) Hasta ve yaralılara uygulanan tedavi usûlleri ve bu konudaki çalışmaların verimini tespit etmek ve ileriye dönük planlama yapabilmek için yatan ve ameliyat olan hastalara ait bilgiler bu bölüm tarafından uluslararası esaslara göre tasnif edilir ve kodlaması yapılır.
e) (Form-56) ile bildirimi zorunlu hastalıklar, verem (tüberküloz), zehirlenme, AIDS, kadın ve ana ölümleri, kanser vakalarına ilişkin bilgileri sağlık müdürlüklerine bildirir.
Servis sekreterleri
Madde 14 – Servis sekreterleri şu görevleri yerine getirir:
a) Yatış kağıdını kontrol eder, hastanın adı, soyadı, baba adı, dosya numarası, doğum tarihi, medeni durumu, cinsiyeti, işi ve adresi, teşhisi, yatıran tabibin isim kaşesi ve imzası eksikse tamamlanmasını sağlar.
b) Hastanın yatmasından taburcu olmasına kadar kullanılan bütün formlar ile biyopsi, EKG, sitopatoloji, röntgen, anestezi gibi raporları hasta dosyasına koyar ve bunun takibini yapar.
c) Hasta taburcu olurken, resmî hastaların raporlarının ilgili tabipçe yazılmasını sağlar; taburcu notunu kontrol eder ve hasta dosyasını hasta kabul bölümüne gönderilmeden önce 12 nci maddedeki sıralamaya göre düzenler.
Adli vak’alara ilişkin kayıtların muhafazası
Madde 15 – Adli vak’alara ilişkin tüm tahlil, tetkik sonuçları ile her türlü kayıt, dökümanlar ve hasta dosyalarının en az yirmi yıl süreyle yataklı tedavi kurumunun arşivinde muhafazası zorunludur.
ÜÇÜNCÜ BÖLÜM
Son Hükümler
Hüküm öngörülmeyen haller
Madde 16 – Bu Yönerge’de hüküm öngörülmeyen ve açıklık getirilmeyen hususlarda, 16/5/1988 tarihli ve 19816 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Devlet Arşiv Hizmetleri Hakkında Yönetmelik hükümleri uygulanır.
Yürürlükten kaldırılan hükümler
Madde 17 – Yataklı Tedavi Kurumları Merkezi Tıbbî Arşiv Yönergesi hükümleri yürürlükten kaldırılmıştır.
Yürürlük
Madde 18 – Bu Yönerge, Bakan Onayı ile yürürlüğe girer.
Yürütme
Madde 19 – Bu Yönerge hükümlerini Sağlık Bakanı yürütür.
Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesinde Değişiklik Yapılmasına Dair Yönerge
06.06.2007 tarihli ve 5228 sayılı makam onayı ile yürürlüğe girmiştir.
MADDE 1- Bakanlık Makamının 06.11.2001 tarih ve 10588 sayılı olurlarıyla yürürlüğe giren Yataklı Tedavi Kurumları Tıbbi Kayıt ve Arşiv Hizmetleri Yönergesinin Ek 1 inci maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiş, birinci fıkradan sonra gelmek üzere aşağıdaki fıkralar eklenmiştir.
“(6.6.2007-5228 sayılı onayla değişik) Kurumlarda kağıt üzerinde tutulan, kurum dışına çıkmayan ve hukuken ıslak imza gerektirmeyen poliklinik defterleri, laboratuar defterleri, yatan hasta takip kartları, anamnez formları, tedavi takip kartları gibi sağlık kayıtları ve belgeleri, lüzumu halinde istenilen içerik ve formatta çıktıları alınacak şekilde olmak şartıyla, elektronik imza uygulamaları yaygınlaşana kadar, Ek-5 de belirlenen standart ve kurallar çerçevesinde gerekli yedekleme ve güvenlik önlemleri alınarak yapılandırılan kurumlar sadece elektronik ortamda tutabilir, iş ve işlemler bu ortamda gerçekleştirilebilir.”
“(6.6.2007-5228 sayılı onayla eklenen) Sağlık kurumlarımızda kullanılmakta olan tüm bilgi sistemlerinde gerek veritabanından gerekse kullanılan uygulama yazılımları arayüzlerinden (Hastane Bilgi Sistemleri, Aile Hekimliği Bilgi sistemleri, Birinci Basamak Sağlık Kurumları Bilgi sistemleri vb.) geçmiş kayıtlardaki kapanmış, onaylanmış ve sonuçlandırılmış işlemlere ait verilerde değiştirme, silme ve ekleme yapılamaz. Son kullanıcılara sadece okuma ve raporlama yetkisi verilir.”
“(6.6.2007-5228 sayılı onayla eklenen) Herhangi bir nedenden (teknik, programatik, mevzuat vb.) kaynaklanan zorunlu haller söz konusu olduğu takdirde bunun için gerekli değiştirme, silme ve ekleme yapma yetkisi, ilgili sağlık kurumunun en üst amirine aittir. Bu değişikliklere ait detaylı loglar mutlaka tutulmalıdır.”
MADDE 2- Aynı Yönerge’ye ek’teki Ek-5 eklenmiştir.
MADDE 3- Bu Yönerge Bakan onayını müteakiben yürürlüğe girer.
MADDE 4- Bu Yönerge hükümlerini Sağlık Bakanı yürütür.
EK: 4
DOSYALAMA SISTEMI AÇIKLAMA FORMU
AÇIKLAMALAR
1)Ek 1 ‘de ön yüzü Ek 2’de arka yüzü verilen dosya örneğine uygun olarak aşağıda belirtilen renk kodlarına uygun renkli dosyalama sistemi oluşturulur. Yüzlük bölümler halinde uygulanan kodlama sisteminde onlar hanesine renk kodlanmaz.
0-Kırmızı 5-Siyah
1-Gri 6-Sarı
2-Mavi 7-Kahverengi
3-Turuncu 8-Pembe
4-Mor 9-Yeşil
2)Ek 1 ve Ek 2’de verilen örnek dosya numarasının okunma şekli;
No: 2329106
Sırt mavi : 2 Milyon (iki milyon)
Sırt alt turuncu : 300 (üçyüz)
Alttaki Renkler;
Sağdan sola mavi : 20 (yirmi)
Yeşil : 9 bin (Dokuzbin)
Gri : 106 (Yüzaltı)
3)Kırmızı ile yazılanlar sabit kalacak şekilde basılır.
4)Ok işareti ile gösterilenler dosyadaki renk sisteminin uygulanmasına ait ölçüleri göstermektedir.
5)Dosya üzerindeki yıllar;
-Hastanın ilk kez hastaneye hangi tarihte geldiğini belirlemek,
-Dosyanın aktif veya pasif durumda olduğunu anlamak üzere iki amaçla kullanılmaktadır.
6)—- orta çizgisini (her bir yüzü A4 boyutunda olacak) göstermektedir.
7)Renkler etiket olarak basılabilir.
8)Numaralar istenirse numaratör ile basılabilir.
9)Dosyanın gizli bir yerine güvenlik bandı konularak, hastalar tarafından dışarıya çıkması önlenebilir. Bu durumda dosya teli ve güvenlik bandı için paslanmaz çelik kullanılır.
EK-5 (6.6.2007-5228 sayılı onayla eklenen)
5.1. KRIZ / ACIL DURUM YÖNETIMI
Bilgi sistemlerinin kesintisiz çalışabilmesi için gerekli önlemler alınmalıdır. Örneğin, uygulama veya veri tabanı sunucularında donanım ve yazılıma ait problemler oluştuğunda, yerel veya uzak sistemden yeniden kesintisiz (veya makul kesinti süresi içerisinde) çalışma sağlanabilmelidir. Kümeleme (cluster) veya uzaktan kopyalama (remote replication) çözümleri hayata geçirilmelidir. Hastaneler, sistemlerini tasarlarken ne kadar süre ile ve ne kadar performans kaybını tolere edeceklerini göz önüne almalıdırlar. Kurum çalışanlarının, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartlar şunlardır.
5.1.1.Acil durum sorumluları atanmalı ve yetki ve sorumlulukları belirlenmeli ve dokümante edilmelidir.
5.1.2.Acil durumlarda kurum içi işbirliği gereksinimleri tanımlanmalıdır.
5.1.3.Acil durumlarda sistem log’ları incelenmek üzere saklanmalıdır.
5.1.4.Güvenlik açıkları ve ihlallerinin rapor edilmesi için kurumsal bir mekanizma oluşturulmalıdır.
5.1.5.Yaşanan acil durumlar sonrası politikalar ve süreçler yeniden incelenerek ihtiyaçlar doğrultusunda revize edilmelidir.
5.1.6.Bir güvenlik ihlali yaşandığında ilgili sorumlulara bildirimde bulunulmalı ve bu bildirim süreçleri tanımlanmış olmalıdır.
5.1.7.Acil Durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
oSeviye A: Bilgi kaybı. Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
oSeviye B: Servis kesintisi. Kurumsal servislerin kesintisi veya kesintisine yol açabilecek durumlar.
oSeviye C: Şüpheli durumlar. Yukarıda tanımlı ilk iki seviyedeki duruma sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
5.1.8.Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu riskler oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir.
5.1.9.Acil durumlarda bilgi güvenliği yöneticisine erişilmeli, ulaşılamadığı durumlarda koordinasyonu sağlamak üzere önceden tanımlanmış ilgili yöneticiye bilgi verilmeli ve zararın tespit edilerek süratle daha önceden tanımlanmış felaket kurtarma faaliyetleri yürütülmelidir.
5.1.10.Bilgi güvenliği yöneticisi tarafından gerekli görülen durumlarda konu hukuksal zeminde incelenmek üzere ilgili makamlara iletilmelidir.
5.1.11.Olayın türü ve boyutuna göre emniyet veya diğer kurumlara başvurmak gerekebilir. Bu özel olaylar (hırsızlık vb), başvurulacak kurumlar, başvuru şekli (telefon, dilekçe vb), başvuruyu yapacak kurum yetkilisi önceden belirlenmiş ve dokümante edilmiş olmalıdır.
5.2. BILGI SISTEMLERINDE YEDEKLEME
Bilgi sistemlerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en az düzeye indirmek için, sistemler üzerindeki konfigurasyon, sistem bilgilerinin ve kurumsal verilerin düzenli olarak yedeklenmesi gerekir. Sunucular ve veri depolama üniteleri yedekli olarak aynı veya uzak ortamlarda çalışmalıdır. Verinin de operasyonel ortamda online olarak aynı disk sisteminde farklı disk volümlerde ve offline olarak Manyetik kartuş, DVD veya CD ortamında yedekleri alınmalıdır. Taşınabilir ortamlar (Manyetik kartuş, DVD veya CD) fiziksel olarak bilgi işlem odalarından faklı odalarda veya binalarda güvenli bir şekilde saklanmalıdır. Veriler offline ortamlarda süresiz olarak saklanmalıdır. Buna yönelik standartlar şunlardır.
5.2.1.Kurumsal kritik verilerin saklandığı sistemler ile sistem kesintisinin kritik olduğu sistemlerin bir varlık envanteri çıkartılmalı ve yedekleme ihtiyacı bakımından sınıflandırılarak dokümante edilmelidir.
5.2.2.Düzenli yedeklemesi yapılacak varlık envanteri üzerinde hangi sistemlerde ne tür uygulamaların çalıştığı ve yedeği alınacak dizin, dosya Bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilmelidir.
5.2.3.Yedekleme konusu bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu konuyla ilgili sorumluluklar tanımlanmalı ve atamalar yapılmalıdır.
5.2.4.Yedekleri alınacak sistem, dosya ve veriler dikkatle belirlenmeli ve yedeği alınacak sistemleri belirleyen bir yedekleme listesi oluşturulmalıdır.
5.2.5.Yedek ünite üzerinde gereksiz yer tutmamak üzere, kritiklik düzeyi düşük olan veya sürekli büyüyen izleme dosyaları yedekleme listesine dahil edilmemelidir.
5.2.6.Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme listesi periyodik olarak gözden geçirilmeli ve güncellenmelidir.
5.2.7.Yeni sistem ve uygulamalar devreye alındığında, yedekleme listeleri güncellenmelidir.
5.2.8.Yedekleme işlemi için yeterli sayı ve kapasitede yedek üniteler seçilmeli ve temin edilmelidir. Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilmelidir.
5.2.9.Yedekleme ortamlarının mümkünse düzenli olarak test edilmesi ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmalıdır.
5.2.10.Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek etkinliklerinin doğrulanması ve operasyonel prosedürlerin öngördüğü süreler dahilinde tamamlanabileceğinden emin olunması gerekir.
5.2.11.Yedek ünitelerin saklanacağı ortamların fiziksel uygunluğu ve güvenliği sağlanmalıdır.
5.2.12.Yedekleme Standardı ile doğru ve eksiksiz yedek kayıt kopyalarının bir felaket anında etkilenmeyecek bir ortamda bulundurulması ve kritik bilgiler için en az üç nesil yedekleme bilgisinin tutulması gerekir.
5.2.13.Veri Yedekleme Standardı; yedekleme sıklığı, kapsamı, gün içinde ne zaman yapılacağı, ne koşullarda ve hangi aşamalarla yedeklerin yükleneceği ve yükleme sırasında sorunlar çıkarsa nasıl geri dönüleceği, yedekleme ortamlarının ne şekilde işaretleneceği, yedekleme testlerinin ne şekilde yapılacağı ve bunun gibi konulara açıklık getirecek şekilde hazırlanmalı ve işlerliği periyodik olarak gözden geçirilmelidir.
5.3. VERI TABANI GÜVENLIĞI
Kritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme, ekleme) loglanmalıdır. Log kayıtlarına idarenin izni olmadan kesinlikle hiçbir şekilde erişim yapılamamalıdır. Manyetik kartuş, DVD veya CD ortamlarında tutulan log kayıtları en az 5 (beş) yıl süre ile güvenli ortamlarda saklanmalıdır. Veritabanı sunucularının güvenliği hakkında daha detaylı bilgi ve uyulması gereken kurallar şunlardır.
5.3.1.Veritabanı sistemleri envanteri ve bu envanterden sorumlu personel tanımlanmalı ve dokümante edilmelidir.
5.3.2.Veritabanı işletim kuralları belirlenmeli ve dokümante edilmelidir.
5.3.3.Veritabanı sistem logları tutulmalı ve izlenmelidir.
5.3.4.Veritabanı sistemlerinde tutulan bilgiler sınıflandırılmalı ve uygun yedekleme politikaları oluşturulmalı, yedeklemeden sorumlu sistem yöneticileri belirlenmeli ve yedeklerin düzenli alınması kontrol altında tutulmalıdır.
5.3.5.Yedekleme planları dokümante edilmelidir.
5.3.6.Veritabanı erişim politikaları “Kimlik doğrulama ve Yetkilendirme” politikaları çerçevesinde oluşturulmalıdır.
5.3.7.Hatadan arındırma, bilgileri yedekten dönme kuralları “Acil Durum Yönetimi” politikalarına uygun olarak oluşturulmalı ve dokümante edilmelidir.
5.3.8.Bilgilerin saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında tutulmalıdır.
5.3.9.Veritabanı sistemlerinde oluşacak problemlere yönelik bakım, onarım çalışmaları yetkili bir personel gözetiminde yapılmalıdır.
5.3.10.Yama ve güncelleme çalışmaları yapılmadan önce bildirimde bulunulmalı ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmelidir.
5.3.11.Bilgi saklama ortamlarının kurum dışına çıkarılması için yetkilendirme yapılması ve bu durumun izleme takip amacıyla kaydedilmesi gerekir.
5.3.12.Sistem dokümantasyonu güvenli şekilde saklanmalıdır.
5.3.13.Işletme sırasında ortaya çıkan beklenmedik durum ve teknik problemlerde destek için kurulacak temaslar belirlenmelidir.
5.3.14.Veritabanı serverda sadece ssh açık olmalı ftp, telnet, remote vb. bağlantılara kapalı olmalıdır.
5.3.15.Veritabanı servera veritabanı yöneticisi dışında hiçbir kullanıcı ssh bağlantı yapma yetkisi olmamalıdır.
5.3.16.Application serverlardan veritabanına rlogin vb. şekilde erişememelidir.
5.3.17.Veritabanı serverların şifresi sorumlu kişiler dışında bir zarfa yazılıp bantlanıp imzalanıp üst düzey yöneticisinin kasasında saklanmalıdır. Çok kritik bilgilere erişim için çift şifreleme mekanizması olmalıdır. Bu durumda en az iki kullanıcı bir şifreyi tamamlayacak olup birbirlerinin şifrelerini bilmeyeceklerdir.
5.3.18.Arayüzden gelen kullanıcılar bir tabloda saklanmalı bu tablodaki kullanıcı adı ve şifreleri şifrelenmiş olmadır.
5.3.19.Veritabanında güvenliği önemli veriler mutlaka şifrelenmelidir. Bu sayede verileri taşınsa bile orjinallerine erişilmemesi sağlanır.
5.3.20.Veritabanı servera root olarak hiçbir kullanıcı bağlanmamalı. Bağlanması gereken kişilere kendi adında belli yetkilerle kullanıcı oluşturulmalıdır. Bu kullanıcıların yaptıkları işlemler loglanmalıdır. Root şifresi sadece sistem yöneticisinde olmalıdır.
5.3.21.Veritabanında Veritabanı yöneticisi dışında SYSDBA,DBA yetkili kullanıcı olmamalıdır.
5.3.22.Veritabanında bulunan farklı Schemaların kendi yetkili kullanıcısı dışındaki diğer kullanıcıların erişmesi engellenmelidir.
5.3.23.Veritabanına internetten direkt bağlantı kesinlikle engellenmelidir.
5.3.24.Veritabanı server a Sistem yöneticisi, Veritabanı Yöneticisi ve application server dışında hiçbir kullanıcı erişememelidir, ip bazında kısıtlana yapılmalıdır.
5.3.25.Veritabanı servera kod geliştiren kullanıcı dışında hiçbir kullanıcı bağlanıp sorgu yapamamalıdır. Istekler arayüzden sağlanmalıdır.(Kullanıcılara tablolardan select yapamamalılar)
5.3.26.Veritabanına giden veri trafiği şifrelenmelidir. (Networku dinleyen verilere ulaşamamalıdır.)
5.3.27.Bütün şifreler düzenli aralıklarla değiştirilmelidir. Detaylı bilgi için şifreleme politikasına bakılmalıdır.
5.4. ŞIFRELEME
Şifreleme, bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre, ağ güvenliğini tümüyle riske atabilir. Güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkındaki standartlar ve uyulması gereken kurallar şunlardır.
5.4.1.Genel Bilgiler
5.4.1.1.Bütün sistem seviyeli şifreler (örnek, root, administrator, enable, vs) en az üç ayda bir değiştirilmelidir.
5.4.1.2.Bütün kullanıcı seviyeli şifreler (örnek, e-posta, web, masaüstü bilgisayar vs.) en az altı ayda bir değiştirilmelidir. Tavsiye edilen değiştirme süresi her dört ayda birdir.
5.4.1.3.Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır.
5.4.1.4.Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
5.4.1.5.SNMP kullanıldığı durumlarda varsayılan olarak gelen “public”, “system” ve “private” gibi community string’lere farklı değerler atanmalıdır.
5.4.1.6.Kullanıcı, şifresini başkası ile paylaşmaması, kağıtlara yada elektronik ortamlara yazmaması konusunda eğitilmelidir.
5.4.1.7.Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının şifreleri de kolayca kırılamayacak güçlü bir şifreye sahip olmalıdır.
Bütün kullanıcı ve sistem seviyeli şifrelemeler aşağıdaki ana noktalara uymalıdır.
5.4.2.Genel Şifre Oluşturma Kuralları
Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: Kullanıcı şifreleri, web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs.). Bütün kullanıcılar güçlü bir şifre seçimi hakkında özen göstermelidir.
Zayıf şifreler aşağıda belirtilen karakteristiklere sahiptir.
·Şifreler sekizden daha az karaktere sahiptirler.
·Şifreler sözlükte bulunan bir kelimeye sahiptir.
·Şifreler aşağıdaki gibi ortak değere sahiptir.
oAilesinin, arkadaşının, sahip olduğu bir hayvanın veya bir sanatçının ismine sahiptir.
oBilgisayar terminolojisi ve isimleri, komutlar, siteler, şirketler, donanım veya yazılım gibi.
o”Sağlık”, “istanbul”, “ankara” gibi isimler.
oDoğum tarihi veya adres ve telefon numaraları gibi kişisel bilgiler.
oAaabbb, qwerty,zyxwuts, 123321 vs. Gibi sıralı harf veya rakamlar.
oYukardaki herhangi bir kelimenin geri yazılış şekli.
oYukarıdaki herhangi bir kelimenin rakamla takip edilmesi (örnek ,gizli1, gizli2).
Güçlü şifreler aşağıdaki karakteristiklere sahiptir.
·Küçük ve büyük karakterlere sahiptir (örnek, a-z, A-Z)
·Hem dijit hemde noktalama karakterleri ve ayrıca harflere sahiptir. (0-9, !@#$%^&*()_+|~-=`{}[]:”;’<>?,./)
·En az sekiz adet alfanümerik karaktere sahiptir.
·Herhangi bir dildeki argo, lehçe veya teknik bir kelime olmamalıdır.
·Aile isimleri gibi kişisel bilgilere ait olmamalıdır.
·Şifreler herhangi bir yere yazılmamalıdır veya elektronik ortamda tutulmamalıdır. Kolayca hatırlanabilen şifreler oluşturulmalıdır. Örnek olarak; “olmaya devlet cihanda bir nefes sıhhat gibi” cümlesi “OdC1nSg!” veya türevleri şeklinde olabilir.
Not: Yukarıdaki herhangi bir örneği şifre olarak kullanmayınız.
5.4.3.Şifre Koruma Standartları
Sağlık Bakanlığı bünyesinde kullanılan şifreleri kurum dışında herhangi bir şekilde kullanmayınız. (örnek, internet erişim şifreleri, bankacılık işlemlerinde veya diğer yerlerde). Değişik sistemler için farklı şifreleme kullanın. Örnek, Unix sistemler için farklı şifre, Windows sistemler için farklı şifre kullanınız.
Bakanlık bünyesinde kullanılan şifreleri herhangi bir kimseyle paylaşmayınız. Bütün şifreler Bakanlığa ait gizli bilgiler olarak düşünülmelidir.
Aşağıdakiler yapılmayacakların listesidir:
·Herhangi bir kişiye telefonda şifre vermek.
·e-posta mesajlarında şifre belirtmek.
·Üst yöneticinize şifreleri söylemek.
·Ba
