SKS Hastane Sürüm 6.1

Erciyes Üniversitesi Sağlık Uygulama ve Araştırma Merkezi

Sağlıkta Kalite Standartları | SKS-Hastane (Sürüm 6.1)

ANASAYFA

Bilgi Yönetim Sistemi

30 DBY01 Bilgi yönetim sistemi süreçlerine ilişkin hastane politikası oluşturulmalıdır.

DBY01.01
Bilgi yönetim sistemi (BYS) politikasında asgari aşağıdaki hususlar tanımlanmalıdır:
o BYS'nin amaç ve kapsamı
o Bilgi güvenliği
o BYS'ni oluşturan alt sistemler (SBYS, LBYS, PACS, Web, E-posta, Dosya Sunucu, varsa diğer bilgi yönetim alt sistemleri gibi)
o SBYS işletimi ve değişiklik yönetim süreçleri
o Bilgi sistem donanım ve altyapı, yönetim ve talep süreçleri
o Varlık yönetimi
o İş sürekliliği yönetimi
o Yedekleme
o Bilgi teknolojileri imha yönetimi (Bilgisayar, disk, sunucu vb)

30 DBY02 Bilgi yönetimine ilişkin süreçlerin güvenli bir şekilde yürütülmesi ve koordinasyonu sağlanmalıdır.

DBY02.01
BYS ile ilgili politikaların oluşturulması, BYS'ye ilişkin faaliyetlerin yürütülmesi ve koordinasyonunun sağlanması, bilgi güvenliği ile ilgili hususlarda gerekli çalışmaların yapılması amacıyla sorumlular ve sorumlulukları tanımlanmalıdır.

DBY02.02
Bilgi yönetim sistemine ilişkin rol grupları (hekimler, hemşireler, sekreterler gibi) ve yetkileri belirlenmelidir.
o Çalışanlar yetki düzeyleri ile ilgili olarak bilgilendirilmelidir.
o Bilgilendirme ve yetki düzeyi kayıt altına alınmalıdır.
o Aynı görevi icra eden çalışanlar aynı yetki gruplarına sahip olmalıdır.
o İşe yeni başlayan ve işten ayrılan personele erişim yetkilerinin verilmesi ve iptal edilmesine yönelik yetki verme ve iptal etme süreçleri tanımlanmalıdır.

DBY02.03
Rol grupları ve kullanıcılar için tanımlanan yetkiler periyodik olarak ve gerektiğinde (görev değişikliği, işten ayrılma vb) gözden geçirilmeli, gerekli güncellemeler yapılmalıdır.

30 DBY03 Bilgi yönetim sistemine ilişkin riskler yönetilmelidir.

DBY03.01
Bilgi yönetim sistemine yönelik fiziksel tehlikeler, yazılım ve donanımla ilgili sorunlar, bilgi güvenliği, bilgi mahremiyeti, kişisel verilerin korunması, kullanıcı hataları gibi konularda risk analizi yapılmalıdır.

DBY03.02
Tespit edilen riskler doğrultusunda iyileştirme çalışmaları başlatılmalıdır.

DBY03.03
Risk analizleri en geç altı ayda bir olacak şekilde düzenli aralıklarla ve gerektiğinde güncellenmelidir.

40 DBY04 Hata bildirimine ve çözüm sürecine yönelik düzenleme yapılmalıdır.

DBY04.01
Bilgi yönetim sistemine ilişkin yazılımsal ve donanımsal hataların nasıl bildirileceği ve hatalara nasıl müdahale edileceği tanımlanmalıdır.

DBY04.02
Bildirilen hatalar ile ilgili asgari aşağıdaki bilgiler kayıt altına alınmalıdır:
o Hatanın oluştuğu tarih ve saat
o Bildirimin yapıldığı tarih ve saat
o Hatanın içeriği
o Hatanın giderildiği tarih ve saat

DBY04.03
Karşılaşılan hatalar, çözüm süreçleri, ne kadar sürede hatanın çözüldüğü gibi bilgiler kayıt altına alınmalı, benzer hatalar gerçekleşmesi durumunda bu kayıtlar izlenebilir olmalıdır.

DBY04.04
Hata giderilinceye kadar işlerin aksamamasına yönelik yapılması gerekenler bölüm bazında belirlenmelidir.

50 DBY05 ÇEKİRDEK Bilgi güvenliğinin sağlanması ve kişisel verilerin korunmasına yönelik gerekli tedbirler alınmalıdır.

DBY05.01
Bilgi güvenliği ve kişisel verilerin korunması ile ilgili asgari aşağıdaki hususlar tanımlanmalıdır:
o Erişim ve yetki kontrolü
o Fiziksel ve çevresel güvenlik yönetimi
o İletişim güvenliği
o Bilgi güvenliği ihlal olayı yönetimi
o Kişisel verilerin korunması

DBY05.02
Bilgi güvenliği ve kişisel verilerin korunması konusunda çalışanlara farkındalık eğitimi verilmelidir.

DBY05.03
Bilgi yönetim sisteminde kullanılan parolalar, Bakanlık parola politikaları ile uyumlu olmalıdır.

DBY05.04
Bilgi yönetim sistemi sorumluları ve kullanıcılara yönelik gizlilik sözleşmesi bulunmalıdır.

30 DBY06 SBYS'de hastalara ait sağlık kayıtlarına elektronik olarak ulusal ve kurumsal düzeyde erişim sağlanmalıdır.

DBY06.01
SBYS nin muayene ekranlarından ulusal sağlık veri tabanına (e-nabız) entegrasyon sağlanmalıdır.

DBY06.02
Hastaların aynı hastenedeki geçmiş tıbbi kayıtlarına HBYS üzerinden erişim sağlanmalıdır.

30 DBY07 Bilgi yönetim sisteminin etkin kullanımının sağlanmasına yönelik çalışma yapılmalıdır.

DBY07.01
Bilgi yönetim sisteminin etkin kullanılabilmesine ilişkin çalışanlara eğitim verilmelidir.
o Eğitimler, çalışanların ihtiyacına göre planlanmalı ve uygulanmalıdır.

DBY07.02
Bilgi yönetim sistemi uygulamalarına ilişkin güncellemeler hakkında çalışanlar bilgilendirilmelidir.

DBY07.03
Bilgi yönetim sistemi uygulamalarına ilişkin güncelleme geçmişleri kullanıcılar tarafından izlenebilir olmalıdır.

40 DBY08 Sağlık bilgi yönetim sistemi (SBYS)'nde yer alan modüller birbirine entegre olmalıdır.

DBY08.01
HBYS'de, farklı hizmet süreçlerine yönelik asgari aşağıda belirtilen modüller oluşturulmalıdır:
o Hasta kayıt
o Hasta yatışı
o Poliklinik
o Klinik
o Merkezi sterilizasyon ünitesi
o TRSM
o Eczane
o Depo
o Satın alma
o Ayniyat
o Laboratuvar
o Vezne
o Faturalandırma
o Radyoloji
o Personel modülü

DBY08.02
Malzeme ve cihaz istemlerinin yapılmasından, bölümlerde kullanılmasına kadar geçen tüm süreçlere ilişkin işlemler HBYS üzerinden gerçekleştirilmelidir.

DBY08.03
HBYS üzerinde, modüllerin kullanımına ilişkin yardım bilgileri bulunmalıdır.

DBY08.04
Personel modülünde, çalışanlara ilişkin asgari aşağıda belirtilen bilgi ve belgeler bulunmalıdır:
o Çalışana ait fotoğraf
o Aktif olarak çalıştığı bölüm
o Kadrosunun kayıtlı olduğu bölüm veya kurum
o Kan grubu
o İletişim bilgileri
o İzin ve rapor bilgileri
o Eğitim durumu
o Sertifikaları
o Hizmet içi eğitimleri
o Yabancı dil bilgisi

30 DBY09 SBYS üzerinde yapılan işlemler izlenebilir olmalıdır.

DBY09.01
İz kayıtlarının geçmişe yönelik izlenebilirliği sağlanmalıdır.
o BYS üzerinde yapılan düzeltme ve iptal kayıtları izlenebilir olmalıdır.
o Salt okunur özellikte ayrı bir veritabanı ya da tablo mevcut olmalıdır.
o Veritabanı ya da tablolarda sisteme giriş yapan kullanıcılar, gerçekleştirdikleri işlemler, sistem ayarlarında gerçekleştirilen değişiklikler, sistem mesajları ve hatalar log izleme yazılımı tarafından kayıt altına alınmalıdır.
o Bu veritabanı ya da tablolara sadece bilgi sisteminde yönetici olarak yetkilendirilmiş kişiler ulaşabilmelidir.

50 DBY10 ÇEKİRDEK SBYS üzerindeki verilerin yedeklenmesine yönelik düzenleme bulunmalıdır.

DBY10.01
Yedekleme ile ilgili süreçler, verinin depolanması ve korunmasına yönelik dikkat edilmesi gereken hususlar ve veri kurtarma testi planlarını kapsayacak şekilde tanımlanmalıdır.

DBY10.02
Yedekleme, biri tam ve ikisi fark olmak üzere günde en az 3 defa yapılmalıdır.

DBY10.03
Yedekleme dosyaları SBYS’nin çalıştığı sunucu haricindeki bir ortama alınmalıdır.
o Yedekleme; harici bellek, taşınabilir kayıt ortamları veya ağ üzerinde çalışan yedek sunucu gibi bir ortamda olmalıdır.

DBY10.04
Alınan yedekleme ortamı, fiziksel olarak SBYS’nin üzerinde çalıştığı alanlardan farklı bir alanda, mümkünse farklı binada saklanmalıdır.

DBY10.05
Veriler, yedekleme politikasında belirtilen sorumlu kurum (hastane yönetimi, il sağlık müdürlüğü, özel hastane grubu vb.) tarafından offline ortamlarda süresiz olarak saklanmalıdır.

DBY10.06
Veri kurtarma testleri altı aylık dönemlerde yapılmalı ve hastane yönetimi tarafından kontrol edilmelidir.
o Yedeklemeden geri dönüşüm sağlanıp sağlanmadığı ve veri kaybının olup olmadığı kontrol edilmelidir.
o Test kayıt altına alınmalıdır.
o Gerektiğinde iyileştirme çalışmaları başlatılmalıdır.

30 DBY11 Bilgi yönetim sisteminde kullanılan tüm bilgisayarlara yönelik düzenleme yapılmalıdır.

DBY11.01
Tüm bilgisayarlar etki alanına dahil edilmelidir.

DBY11.02
Bilgisayarlarda kullanılan tüm programlar lisanslı olmalıdır.

DBY11.03
Bilgisayar donanım ve yazılımlarının güncel envanteri oluşturulmalı, envanterde asgari aşağıdaki bilgiler bulunmalıdır:
o Bulunduğu bölüm
o Marka
o Model
o Seri no
o Demirbaş numarası
o Donanım ve yazılım adı
o İşletim sistemi
o Ek aksamlar
o Alınma tarihi
o Varsa garanti süresi

DBY11.04
Kullanıcı bilgisayarlarındaki virüs yazılımları ve virüs tarama dosyaları ile işletim sistemi ve güvenlik yamalarının güncellenmeleri merkezi bir sunucu vasıtası ile otomatik olarak yapılmalıdır.

DBY11.05
Misafir kullanıcıların bağlandığı kablosuz ağ bağlantıları için farklı vlan oluşturulmalıdır.

40 DBY12 Bilgi yönetim sisteminin etkinliği ve sürekliliği için gerekli destek sağlanmalıdır.

DBY12.01
Yazılım-donanım destek birimi bulunmalıdır.
o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalıdır.
o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri ilgili birimde bulunmalıdır.

DBY12.02
Bilgi yönetim sistemdeki arızalar ve devre dışı kaldığı durumlar nedenleri ile birlikte kayıt altına alınmalıdır.

DBY12.03
Sistemde tespit edilen kesinti ve arızalara yönelik gerekli iyileştirme çalışmaları yapılmalıdır.

50 DBY13 ÇEKİRDEK Sistem odalarının güvenliği sağlanmalıdır.

DBY13.01
Sunucu ve ağ cihazlarına tahsis edilmiş bağımsız bir sistem odası bulunmalıdır.

DBY13.02
Sistem odasına girişler kontrol altına alınmalıdır.
o Kamera sistemi bulunmalıdır.
o Sistem odasının kapısı geçiş kontrollü olmalıdır.
o Odaya giriş çıkış yapan personelin kayıtları tutulmalıdır.
o Yetkisiz personelin girişi engellenmelidir.

DBY13.03
Su kaynaklı tehlikelere karşı gerekli önlemler alınmalıdır.
o Sistem odası suya karşı iyi bir yalıtıma sahip olmalıdır.
o Odada su basmasına neden olabilecek musluk, kalorifer peteği, atık su gibi tesisat bulunmamalıdır.

DBY13.04
Yangın tehlikesine karşı gerekli önlemler alınmalıdır.
o Gaz temelli yangın söndürme sistemi (halon, FM 200, CO2 gibi) bulunmalıdır.
o Elektrik sisteminin güvenliği sağlanmalıdır.
o Yangın dağılımını kolaylaştıracak tefrişat ve malzeme bulunmamalıdır.
o Gaz temelli yangın söndürme tüplerinin aktif olması durumunda ortamda kişisel koruyucu ekipman hazır bulundurulmalıdır.
o Yangın söndürme sürecinde çalışanların güvenliği hakkında gerekli tedbirlerin alınmasına yönelik eğitim verilmelidir.

DBY13.05
Sistem odasına özel, hastanedeki diğer kesintisiz güç kaynaklarından bağımsız bir kesintisiz güç kaynağı bulunmalıdır.
Fiziksel sunucuların güvenli bir şekilde kapatılabilmesi için gerekli süre en az : 30 dk olmalıdır.

DBY13.06
İdeal sıcaklık ve nem oranları belirlenmeli ve kontrolü sağlanmalıdır.
o İdeal sıcaklık; 18-22 °C,
o Nem oranı; %45 - %70 aralığında olmalıdır.
o Yedekli olarak çalışan ve nem tutma özelliği olan klimalar bulunmalıdır.

DBY13.07
Alev, duman, ortam sıcaklığı ve su basması ile ilgili olağan dışı durumlarda sistem yöneticilerini uyarmak üzere uyarı sistemi bulunmalıdır.

20 DBY14 Sunuculara ait güncel bilgiler kayıt altına alınmalıdır.

DBY14.01
Hastanede bulunan bütün sunucuların kayıtları asgari aşağıdaki bilgileri içerecek şekilde tutulmalıdır.
o Sunucunun adı
o Yeri
o IP adresi
o Türü (Fiziki/Sanal)
o Ana işlevi (Web, Veri Tabanı, E-posta vb.)
o Üzerinde çalışan uygulama ve servisler
o İşletim sistemi ve sürümü
o Sorumlu kişi ve iletişim bilgileri
o Donanım bilgileri (markası, modeli)
o Garanti durumu (Var/Yok), (var ise) ilgili firma ve kişi bilgileri

50 DBY15 ÇEKİRDEK Sunucunun güvenliğini sağlamaya yönelik tedbirler alınmalıdır.

DBY15.01
Sunucu üzerinde çalışan işletim sistemleri, hizmet sunucu yazılımları ve antivirüs gibi koruma amaçlı yazılımlar güncel olmalıdır.

DBY15.02
Sunucuların yazılım ve donanım bakımları üretici firmanın uygun gördüğü süreler dâhilinde yetkili kişiler tarafından yapılmalıdır.

DBY15.03
Sunucular güvenlik duvarının arkasında bulunmalıdır.
o Mevcut Sağlık Bilişim Ağı (SBA) mimarisi uyarınca güvenlik duvarı olmayan hastanelerde, sunucular son kullanıcı ve tıbbi cihazlardan farklı bir VLAN'a konumlandırılmış olmalıdır.

30 DBY16 Veritabanı güvenliğini sağlamaya yönelik tedbirler alınmalıdır.

DBY16.01
Veritabanı sistem iz kayıtları tutulmalı ve gerektiğinde hastane yönetimi tarafından izlenebilmelidir.
o Veritabanı ya da tablolarda sisteme giriş yapan kullanıcılar, gerçekleştirdikleri işlemler, sistem ayarlarında gerçekleştirilen değişiklikler, sistem mesajları ve hatalara ilişkin iz kayıtları yazılım tarafından kayıt altına alınmalıdır.

DBY16.02
Veritabanı ile ilgili sorumlu kişilerin iletişim bilgileri bulunmalıdır.

DBY16.03
Kullanıcıların arayüze bağlanmak için kullandıkları parolalar şifreli bir şekilde saklanmalıdır.

DBY16.04
Veritabanı üzerinde iz kaydı alınması gereken işlemler belirlenmelidir.

DBY16.05
Kullanıcılar veritabanına yapılacak müdahale öncesinde bilgilendirilmelidir.

50 DBY17 ÇEKİRDEK Dış ortamdan iç ortama erişimlerde güvenlik tedbirleri alınmalıdır.

DBY17.01
Dış ortamdan iç ortama erişebilme koşulları ve erişim sağlayabilecek kişiler belirlenmelidir.

DBY17.02
Hizmet alımı kapsamında hastane verilerine fiziksel veya bilgi sistemleri vasıtası ile erişim sağlayabilen tüm kişilere kişisel gizlilik sözleşmesi imzalatılmalıdır.

DBY17.03
Hastane verilerine fiziksel veya bilgi sistemleri vasıtası ile erişim sağlayabilen tüm firmalar ile kurumsal gizlilik sözleşmesi yapılmalıdır.

DBY17.04
Dış ortamdan iç ortama yapılan erişimler kayıt altına alınmalıdır.