ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Γ. Ν. ΠΡΕΒΕΖΑΣ

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Γ. Ν. ΠΡΕΒΕΖΑΣ

  Ρόλοι – Αρμοδιότητες Νοσοκομείου

Το Νοσοκομείο διαθέτει την ακόλουθη Πολιτική Ασφαλείας για την χρήση δεδομένων στην οποία περιγράφονται τα οργανωτικά και τεχνικά μέτρα που απαιτούνται ώστε να προστατεύονται τα πληροφοριακά συστήματα-δεδομένα και να αποφεύγεται η τυχαία απώλεια, η αθέμιτη χρήση, η αθέμιτη καταστροφή, η απαγορευμένη διάδοση, η παράτυπη πρόσβαση και κάθε μορφή χρήσης που αντίκειται στο νόμο, τις αρχές δεοντολογίας και ηθικής.

  • Καθήκον του νοσοκομείου είναι να λαμβάνει όλα εκείνα τα μέτρα για να εξασφαλίζει ότι η Πολιτική Ασφαλείας τηρείται και ότι δεν παραβιάζεται.
  • Ευθύνη του Νοσοκομείου είναι να εξασφαλίζει την ασφάλεια των δεδομένων και των πληροφοριακών συστημάτων, την ακεραιότητα του εξοπλισμού και των υπολογιστών.
  • Το Νοσοκομείο θα είναι απόλυτα αυστηρό σε κάθε απώλεια ή ζημιά σε προσωπικά δεδομένα εφόσον αυτό προκύπτει αποδεδειγμένα από αμέλεια του χρήστη.
  • Το Νοσοκομείο προσπαθεί να προστατεύσει την όποια απώλεια πληροφοριών. Αν απώλεια πληροφορίας στο σύστημα οφείλεται σε αμέλεια εκ μέρους του προσωπικού ή σε οποιαδήποτε αποτυχία του υλικού ή του λογισμικού που είναι πέρα από τα όρια του χρήστη, το Νοσοκομείο θα προσπαθήσει να αποκαταστήσει την απώλεια αυτή και τα δεδομένα αυτά.
  • Οι εγκαταστάσεις σε συστήματα, υπολογιστές και δίκτυα ανήκουν στο Νοσοκομείο και χρησιμοποιούνται υπέρ της αποστολής του. Είναι δικαίωμα του Νοσοκομείου να περιορίσει ή να επεκτείνει την πρόσβαση στις υπηρεσίες αυτές.
  • Οι παραπάνω εγκαταστάσεις δεν μπορούν να χρησιμοποιηθούν για οποιαδήποτε εμπορική δραστηριότητα.
  • Στόχος του Νοσοκομείου είναι να προστατεύει την εμπιστευτικότητα των πληροφοριών και να καθοδηγεί το προσωπικό του ώστε και αυτό να κάνει το ίδιο.
  • Το Νοσοκομείο διατηρεί το δικαίωμα να περιορίσει προσωρινά ή μόνιμα τη χρήση των υπολογιστικών συστημάτων σε όποιον χρήστη αποδειχτεί ότι σκοπίμως προσπάθησε να αντιγράψει, αφαιρέσει ή να αλλάξει όποιες πληροφορίες χωρίς έγγραφη άδεια.
  • Στην προσπάθεια του αυτή το Νοσοκομείο διατηρεί το δικαίωμα να λάβει και άλλα μέτρα προκειμένου να προστατεύσει την ακεραιότητα εξοπλισμού, δεδομένων από κάθε αναρμόδια ή χρήση (όπως λήξη-τερματισμό ενός προγράμματος ή μιας σύνδεσης στο Internet), ή την προσωρινή αλλαγή ονομάτων και κωδικών πρόσβασης ενός χρήστη στα συστήματα του.
  • Το Νοσοκομείο μέσω των Διαχειριστών Συστημάτων ή άλλων εξουσιοδοτημένων ατόμων διατηρεί το δικαίωμα να ελέγχει περιοδικά τις εγκαταστάσεις του, τα Πληροφοριακά Συστήματα τους Υπολογιστές και την πληροφορία που διακινείται στο δίκτυο του.
  • Πληροφοριακές Υποδομές/ Σύστημα λογίζεται το σύνολο των υποδομών πληροφορικής όπως Η/Υ, Εκτυπωτές, περιφερειακά, λογισμικά, ενεργά στοιχεία δικτύου και καλώδια υποδομών LAN.
  • Αρμόδια για την μεταβολή και αναθεώρηση του παρόντος κανονισμού είναι μόνο η διοίκηση του νοσοκομείου.

“Σκοπός του παρόντος κανονισμού είναι να ενημερώσει και να περιγράψει με σαφήνεια, τους όρους λειτουργίας και τους κανόνες πρόσβασης των χρηστών στο Δίκτυο και στα Υπολογιστικά Δεδομένα του Γ. Ν. Πρέβεζας”

 

Κανόνες Χρηστών

  • Τα δεδομένα που διαχειρίζονται τα πληροφοριακά συστήματα του Νοσοκομείου είναι, κατά κύριο λόγο, ευαίσθητα δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα αυτά είναι απόρρητα και η επεξεργασία τους επιτρέπεται κατ’ εξαίρεση σύμφωνα με το Νόμο 2472/97. Υπό αυτό το νομικό πλαίσιο, οι χρήστες υποχρεώνονται να προστατεύουν το απόρρητο των ιατρικών πληροφοριών που συλλέγουν και επεξεργάζονται και να διατηρούν την ακεραιότητα των δεδομένων, φροντίζοντας ώστε τα ιατρικά δεδομένα να είναι ακριβή.
  • Τα πληροφοριακά συστήματα (ή οι ηλεκτρονικές πληροφορίες) μπορούν να χρησιμοποιηθούν μόνο από τους εργαζόμενους στο νοσοκομείο. Όποια άλλα πρόσωπα τα χρησιμοποιήσουν χρειάζονται έγγραφη άδεια από την διοίκηση του Νοσοκομείου. Η άδεια αυτή μπορεί να εκχωρηθεί από τους διαχειριστές συστήματος εφόσον πρόκειται για συνεργαζόμενες εταιρίες που συντηρών πληροφοριακές υποδομές.
  • Οι εργαζόμενοι του νοσοκομείου έχουν προσωπική ευθύνη να γνωρίζουν, να τηρούν και να συμμορφώνονται με την πολιτική ασφαλείας.
  • Όλοι οι χρήστες που χρησιμοποιούν τα πληροφοριακά συστήματα είναι υπεύθυνοι για τη σωστή χρήση τους. Καθήκον τους είναι να εκτελούν κάθε έλεγχο στην προσπάθεια να αποτρέψουν κακή χρήση των πληροφοριακών συστημάτων και να προστατεύουν δεδομένα. Ο χρήστης είναι υπεύθυνος για τις πράξεις του στα προγράμματα, στον εξοπλισμό, στις συνδέσεις του και για προστασία των δεδομένων που διαχειρίζεται.
  • Κανένα χρήστης από οποιαδήποτε σκόπιμη πράξη δεν μπορεί να διακινδυνεύσει την ακεραιότητα του εξοπλισμού, των λειτουργικών συστημάτων, των προγραμμάτων ή άλλων αποθηκευμένων πληροφοριών είτε μέσα στο νοσοκομείο είτε όπου αλλού αποκτά πρόσβαση μέσω δικτύου.
  • Κανένας χρήστης δεν μπορεί να χρησιμοποιεί τα πληροφοριακά συστήματα ή τις εγκαταστάσεις για προσωπική χρήση ή για εμπορικούς σκοπούς. Για να γίνει αυτό, χρειάζεται άδεια από τον οργανισμό.
  • Ο χρήστης πρέπει να χειρίζονται τα προγράμματα σύμφωνα με τις οδηγίες χρήσης .Να σέβεται το copyright, τις άδειες χρήσης και τα πνευματικά δικαιώματα των κατασκευαστών. Κανένας δεν μπορεί να χρησιμοποιήσει, να αντιγράψει ή να μεταφέρει οποιαδήποτε λογισμικό του νοσοκομείου εκτός του οργανισμού εάν δεν υπάρχει έγγραφη άδεια από τον κατασκευαστή του λογισμικού.
  • Ο χρήστης αποδέχεται ότι η χρήση των πληροφοριακών υποδομών είναι τίμια και νόμιμη και να λαμβάνει υπόψη τα δικαιώματα, τις ιδιαιτερότητες και τις ευαισθησίες των άλλων ανθρώπων.
  • Ο χρήστης υποχρεούται να κάνει σωστή χρήση του ηλεκτρονικού ταχυδρομείου και των υπηρεσιών του δικτύου (INTERNET). Να μην στέλνει ηλεκτρονικά μηνύματα εξ’ ονόματι άλλων χρηστών ή να προωθεί διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου.
  • Ο χρήστης υποχρεούται να μην διαβάζει email χωρίς προηγούμενη άδεια του παραλήπτη.
  • Ο χρήστης απαγορεύεται να προωθεί ηλεκτρονική αλληλογραφία που αφορά υποθέσεις του νοσοκομείου, σε οποιονδήποτε τρίτο που δεν εμπλέκεται σε αυτές χωρίς έγγραφη άδεια του νοσοκομείου.
  • Ο χρήστης επιτρέπεται να κάνει χρήση του διαδικτύου σε λογικά πλαίσια και να μην οδηγείται σε πράξεις που δημιουργούν υψηλή κυκλοφορία άσκοπων δεδομένων μέσα στο δίκτυο και ενέργειες που μειώνουν την απόδοση του δικτύου και δυσκολεύουν την εργασία του άλλου προσωπικού. Αρμόδιος να κρίνει «τα λογικά πλαίσια» είναι ο διαχειριστής των πληροφοριακών συστημάτων.
  • Το όνομα χρήστη και ο κωδικός πρόσβασης στα πληροφοριακά συστήματα πρέπει να χρησιμοποιούνται μόνο από τον κάτοχο του κωδικού. Ο κωδικός είναι αυστηρά ιδιωτικός και δεν διανέμεται σε άλλο χρήστη εκτός από εξαιρετικές περιπτώσεις (Με συμφωνία του διαχειριστή συστήματος ή του προϊσταμένου του τμήματος εφόσον ενημερωθεί και ο διαχειριστής)
  • Σε κανέναν χρήστη δεν επιτρέπεται η πρόσβαση ή τροποποίηση στο υλικό των υπολογιστών. Αυτό είναι ευθύνη μόνο του διαχειριστή συστήματος. Με τον όρο υλικό εννοούνται Υπολογιστές, εκτυπωτές, διασυνδεόμενα περιφερειακά, ενεργά στοιχεία και καλωδίωσης δικτύου.
  • Ο χρήστης πρέπει να παίρνει τις απαραίτητες προφυλάξεις για να διασφαλίζει τα δεδομένα και τον εξοπλισμό κάνοντας καλή (σωστή) χρήση των παραπάνω.
  • Οι παραβιάσεις των παραπάνω κανόνων θα είναι τιμωρητέες. Αν ένα μέλος του νοσοκομείου ενεργήσει στην παραβίαση αυτών των κανόνων, θα αμφισβητείται η πρόσβασή του σε όλες τις εγκαταστάσεις των υπολογιστών του νοσοκομείου με απόφαση του διαχειριστή ή της διοίκησης.

Οδηγίες – Κατευθυντήριες γραμμές για τους χρήστες

  • Να προστατεύουν και να μην αποκαλύπτουν δεδομένα, προσωπικές πληροφορίες, εμπιστευτικά στοιχεία στα οποία έχουν πρόσβαση χωρίς ρητή έγκριση από την διοίκηση του νοσοκομείου.
  • Να κρατούν αυστηρά ιδιωτικό τον κωδικό πρόσβασης και να μην τον μοιράζονται με οποιοδήποτε άλλο.
  • Να αλλάζουν περιοδικά τους κωδικούς πρόσβασης.
  • Να σέβονται τους προσωπικούς κωδικούς των άλλων.
  • Να μην κάνουν παράνομα αντίγραφα προγραμμάτων
  • Να μην αλλάζουν σκόπιμα τμήματα του λογισμικού ή των προγραμμάτων χωρίς την ενημέρωση όλων των εμπλεκόμενων σε αυτά.
  • Να μην κατέχουν εσκεμμένα, να μην δίνουν σε άλλο πρόσωπο, να μην εγκαθιστούν ή να τρέχουν προγράμματα που δημιουργούν προβλήματα στη χρήση υπολογιστών και συστημάτων. Τα προγράμματα αυτά συνήθως είναι ιοί (viruses: Trojan horses, worms, password breakers, packet observers, torrent clients, Tor Browsers, P2P clients Κλπ).
  • Να μην συνδέουν οποιαδήποτε ηλεκτρονική συσκευή στις εγκαταστάσεις Η/Υ και δικτύων με σκοπό τον έλεγχο στοιχείων, πακέτων, σημάτων ή άλλων πληροφοριών.
  • Να σέβονται το copyright, τις άδειες χρήσης και τα πνευματικά δικαιώματα όπου υπάρχουν.
  • Να μην χρησιμοποιούν τον υπολογιστή για να ενοχλήσουν, παρενοχλήσουν, τρομοκρατήσουν, εκφοβίσουν, απειλήσουν, προσβάλλουν με οποιοδήποτε τρόπο άλλο χρήστη μέσα ή έξω από το νοσοκομείο.
  • Οι εγκαταστάσεις του Νοσοκομείου δεν μπορούν να χρησιμοποιηθούν για μετάδοση, λήψη επίδειξη κάθε λογής διαφήμισης ή απαράδεκτου υλικού (π.χ. παιδική πορνογραφία, άρθρα που υποκινούν το έγκλημα ή τη βία, όποιας μορφής παρενόχληση κ.λπ.) .
  • Να μην κάνουν σκόπιμη σπατάλη του δικτύου.
  • Ευθύνη των χρηστών είναι η ασφάλεια και η ακεραιότητα των δεδομένων που αποθηκεύονται στο προσωπικό υπολογιστικό σύστημα που κατέχουν. Όπως επίσης και η αποθήκευση (αντίγραφα ασφαλείας) των αρχείων τους σε tapes, diskettes cd ή άλλα μέσα. Σε περίπτωση που τα δεδομένα αυτά είναι κρίσιμα για τον οργανισμό πρέπει να το αναφέρουν στο διαχειριστή

Κατάλληλη Χρήση του ηλεκτρονικού ταχυδρομείου

  • Να μην χρησιμοποιούν το E-MAIL για λόγους που θα φοβίσουν ή θα παρενοχλήσουν άλλους χρήστες
  • Να μην στέλνουν μηνύματα που μπορεί να παρεμποδίσουν την αποδοτικότητα του συστήματος
  • Να μην διαβάζουν το E-MAIL άλλου χρήστη χωρίς την άδεια του
  • Να μην στέλνουν μηνύματα που είναι επιβλαβή για το Νοσοκομείο ή συγκρούονται με τα συμφέροντα του Νοσοκομείου
  • Να μην απαντούν ή διαβάζουν μηνύματα που ο αποστολέας είναι άγνωστος ή ύποπτος για το σύστημα
  • Να μην στέλνουν μηνύματα που περιέχουν άσεμνο, δυσάρεστο ή δυσφημιστικό υλικό.
  • Η υποκλοπή μηνυμάτων μπορεί να συμβεί συχνά. Να είναι οι χρηστές προσεκτικοί όταν στέλνουν ιδιωτικές ή άλλες πληροφορίες (π.χ. να μην στέλνουν μηνύματα με προσωπικούς κωδικούς, κωδικούς πρόσβασης, κωδικούς πιστωτικών καρτών)
  • Να προτιμάται το E-MAIL από τα προγράμματα άμεσης συνομιλίας (TALK) με χρήστη ή χρήστες όταν μάλιστα δεν ξέρουμε τους χρήστες αυτούς.

Όροι και Οδηγίες Διαδικτύου

  • Η σύνδεση στο διαδίκτυο γίνεται μόνο από τους Διαχειριστές Συστημάτων μετά από αίτηση του προϊσταμένου του χρήστη.
  • Να μην επισκέπτονται οι χρήστες σελίδες που δεν είναι σίγουρο ότι είναι ασφαλείς για το δίκτυο ή για τον προσωπικό υπολογιστή τους.
  • Να μην «κατεβάζουν», μεταφέρουν (download) ή αντιγράφουν λογισμικό χωρίς προηγούμενη άδεια του προμηθευτή ή κατασκευαστή του λογισμικού.
  • Ότι λογισμικό κατεβαίνει από το διαδίκτυο πρέπει να ελεγχθεί από ιούς. Αν δεν εμπιστευόμαστε τον παροχέα του λογισμικού, το υλικό πρέπει να τεσταριστεί σε ένα Standalone Non-Production Μηχάνημα(Αυτόνομο Μηχάνημα Μη Παραγωγικό). Αν το Software περιέχει ιό, τότε η ζημιά θα περιοριστεί μόνο στο μηχάνημα αυτό.
  • Δεν υπάρχει καμία διαδικασία ποιοτικού ελέγχου στο διαδίκτυο και μια σημαντική ποσότητα πληροφορίας είναι ξεπερασμένη ή ανακριβής. Οι χρήστες να είναι πάντα προσεκτικοί στις πληροφορίες που στέλνονται μέσω διαδικτύου.
  • Να αποφεύγεται να κατεβαίνει λογισμικό που μπορεί να προκαλέσει αναταραχή στο δίκτυο ή να καταναλώνει σημαντικό μέρος της απόδοσης του.
  • Να αποφεύγετε η χρήση του FTP ή TELNET και να αντικαθίσταται από FTPS και ssh.
  • Οι χρήστες να μην συμμετέχουν σε Multi-User Internet Applications (πολλών χρηστών εφαρμογές δικτύου), χωρίς εξουσιοδότηση ή έγγραφη άδεια.
  • Να μην χρησιμοποιούν την σύνδεση με το δίκτυο για να καθιερώσουν (establish) νέα κανάλια ανώνυμης ηλεκτρονικής επικοινωνίας που περιλαμβάνουν ηλεκτρονική ανταλλαγής δεδομένων όπως (tor, P2P, Torents).
  • Οι χρήστες να είναι πάντα προσεκτικοί στις πληροφορίες που στέλνονται μέσω διαδικτύου. Πρέπει να επιλέγουν κρυπτογραφημένα κανάλια μετάδοσης https και να αποφεύγουν τα μη κρυπτογραφημένα http. Διαφεύγει της αρμοδιότητας των διαχειριστών να εγγυηθούν για την ακεραιότητα των δεδομένων εφόσον το ένα άκρο δεν είναι εντός του νοσοκομείου.
  • Το Νοσοκομείο «ενθαρρύνει» το προσωπικό να χρησιμοποιεί το διαδίκτυο (επισκεπτόμενο ομάδες ειδήσεων ή άλλες δραστηριότητες), αλλά αν η εξερεύνηση είναι για προσωπικούς λόγους αυτή θα πρέπει να γίνεται σε μη εργάσιμη ώρα.
  • Η χρήση των πόρων του Νοσοκομείου είναι επιτρεπτή για προσωπικούς λόγους εφόσον ο χρόνος είναι αμελητέος και εφόσον δεν επηρεάζεται η συνολική δραστηριότητα των Πληροφοριακών Συστημάτων του Νοσοκομείου.
  • Προστασία του Νοσοκομείου από εξωτερική πρόσβαση γίνεται από Network Firewalls, χωρίς αυτό να σημαίνει ότι δίνουν επαρκή ασφάλεια στη σύνδεση με το Internet.
  • Χρήστης που θέλει να συνδέσει το LapTop σε θέση δικτύου πρέπει να παίρνει άδεια από τους Διαχειριστές Συστημάτων.
  • Οι προσωπικές συσκευές tablet, Smart Phone κλπ πρέπει να συνδέονται αυστηρά μόνο στο ασύρματο δίκτυο των επισκεπτών το όποιο δεν συσχετίζεται με το δίκτυο των πληροφοριακών συστημάτων του νοσοκομείου.

Γενικές Πληροφορίες

Όποιες αλλαγές στα συστήματα, στο λογισμικό, στα προγράμματα εφαρμογών πρέπει:

  • Να είναι εξουσιοδοτημένες και εγκεκριμένες από τον οργανισμό
  • Να είναι λεπτομερώς δοκιμασμένες
  • Να είναι τεκμηριωμένες, σαφής και αποτελεσματική για τον οργανισμό
  • Να είναι εφαρμόσιμες
  • Να εγκατασταθεί από κατάλληλο εξουσιοδοτημένο προσωπικό ή τους Διαχειριστές Συστημάτων

Υπεύθυνοι και επιβλέποντες των αλλαγών είναι οι Διαχειριστές Συστημάτων και η προϊσταμένη αρχή του τμήματος που γίνεται η αλλαγή.

Κάθε αλλαγή στα παραπάνω συστήματα πρέπει να έχει περάσει την διαδικασία:

  • Ανάπτυξη
  • Δοκιμή
  • Παραγωγή

∆ιαχειριστές Συστήµατος

  • Έχουν την ευθύνη να διατηρούν την ακεραιότητα των Πληροφοριακών Συστημάτων και Δεδομένων και να σιγουρεύονται ότι δεν θα αλλοιωθούν ή καταστραφούν εύκολα.
  • Έχουν επιπλέον προνόμια πρόσβασης στην προσπάθεια να ανταποκριθούν στις δραστηριότητες τους.
  • Έχουν καθήκον να χρησιμοποιούν αυτά τα προνόμια σαν επαγγελματίες και μέσα στα πλαίσια της εργασίας τους .
  • Να σιγουρεύονται ότι οι χρήστες εκτελούν τα δικά τους καθήκοντα με σεβασμό στη σύνδεση τους στα συστήματα και στο δίκτυο.
  • Να παρέχουν στους χρήστες ακριβείς πληροφορίες και συμβουλές για τη χρήση των προγραμμάτων, να παρέχουν και να λαμβάνουν πληροφορίες για λύσεις σε τυχόν προβλήματα.
  • Να προσπαθούν για την σωστή χρήση των Πληροφοριακών Συστημάτων και να προμηθεύονται τα κατάλληλα εργαλεία ασφαλείας.
  • Διατηρούν το δικαίωμα για έκτακτες πράξεις με σκοπό να εξασφαλίσουν τα παραπάνω. Οι πράξεις αυτές περιλαμβάνουν τερματισμό προγραμμάτων, κλείσιμο server, προσωρινή αλλαγή ή απενεργοποίηση κωδικών και αποσύνδεση συσκευών στο δίκτυο.

 Πρέπει να ειδοποιούνται άμεσα όταν:

  1. Ευαίσθητα δεδομένα χάνονται, αποκαλύπτονται σε αναρμόδια μέρη ή όταν οι χρήστες υποψιάζονται απώλεια ή αποκάλυψη τέτοιων πληροφοριών
  2. Οι κωδικοί πρόσβασης χάνονται, κλέβονται ή αποκαλύπτονται, ή οι χρήστες υποψιάζονται απώλεια, κλοπή ή αποκάλυψη κωδικών.
  3. Ένας χρήστης αλλάζει τμήμα ή συνταξιοδοτείται.
  4. Υπάρχει ασυνήθιστη συμπεριφορά του συστήματος (όπως να λείπουν αρχεία, να γίνονται συχνά συντριβές συστημάτων-System crashes, να εμφανίζονται πολλαπλά μη εξουσιοδοτημένα παράθυρα Pop Up κατά την περιήγηση τους στο διαδίκτυο)

regulation