واحد فناوری اطلاعات و ارتباطات

اهداف
هـدف‌ اصلـی‌ از ایجاد خط مشی‌ امنیت‌ اطلاعات و سیستم‌های اطلاعاتی‌، محافظت‌ از دارائیهای‌ بیمارستان ‌ و فراهـم‌ کردن‌ محیط امن ‌بـرای‌ دسترسی به اطلاعات و بهره برداری از امکانات سیستم‌های اطلاعاتی اعضـای‌ بیمارستان ‌ می‌باشد.خط مشی امنیت‌ اطلاعات‌ متضمن تامین اهداف زیر است:
1-1- محرمانگی، صحت، اصالت و قابلیت دسترسی به اطلاعات بیمارستان  در سطوح مختلف تامین گردد.
1-2- دارائیها و امکانات‌ فن آوری اطلاعات بیمارستان ‌ در مقابل‌ دستبرد، اختلال و دسترسی‌ غیر مجازمصون‌ بماند.
1-3- استفاده‌ غیر مجاز و خلاف‌ قانون‌ از امکانات‌ فناوری اطلاعات ‌ بیمارستان ‌ صورت‌ نپذیرد.

تعریف واژه ها:   
منابع شبکه و ارتباطات‌ : هر نوع‌ تجهیزات‌ کامپیوتری‌، نرم‌افزار، شبکه‌ و تسهیلات‌ مربوطه‌ که‌ توسط بیمارستان  ‌تأمین‌ شده‌ باشد و اجازه‌ دسترسی‌ به‌ آن‌ توسط بیمارستان ‌ صادر گردد.
مسئول فناوری اطلاعات : اشخاصی که تحت نظارت مدیریت فناوری اطلاعات متصدی مدیریت و نگهداری اطلاعات فناوری اطلاعات می باشند.
مدیر سیستم‌ : شخصی‌ که‌ مجوز دسترسی‌ کامل‌ به‌ امکانات‌ یک سیستم فناوری اطلاعات (مثل پست الکترونیکی، وب، اتوماسیون اداری و...) ‌ را برای‌ اداره‌ یا نگهداری‌ آن‌ داشته‌باشد و از طرف‌ مدیریت فناوری اطلاعات منصوب‌ می‌گردد.
کاربر : شخصی‌ که‌ به هر طریق ممکن از امکانات‌ بیمارستان ‌ استفاده‌ می‌کند.
خط مشی:   
2-1- تمام‌ سیستمهای‌ رایانه‌ای و متعلقات آنها اعم‌ از دستگاههای‌ جانبی‌، نرم‌افزارها، اطلاعات، داده‌های ‌متعلق‌ به‌ بیمارستان ‌ (حتی‌ اگر از نظر فیزیکی‌ در محل‌ دیگری‌ واقع‌ شده‌ باشد) و یا در داخل‌ بیمارستان ‌ باشد.
2-2- سیستمهای‌ اطلاعاتی‌ که‌ متعلق‌ به‌ بیمارستان ‌ نیستند اما کاربرد آنها بر تجهیزات‌ متعلق‌ به‌ بیمارستان ‌ یا در داخل‌ شبکه‌ بیمارستان ‌ تأثیر می‌گذارد.
2-3- بستر شبکه، ‌ شبکه‌ بیمارستان ‌ اعم از شبکه‌های محلی و شبکه‌ی گسترده‌ی بیمارستان .
2-4- کلیه کاربران سیستمهای‌ اطلاعاتی‌ بیمارستان  .

2-5- سایر دارائی‌های بیمارستان ‌ که‌ ممکن‌ است‌ به علت‌ استفاده‌ نادرست‌ از سیستمهای‌ اطلاعاتی‌ در معرض‌تهدید قرار گیرند.
مسئولیت ها
مسئولیت‌ وضع‌ قوانین‌ و دستورالعمل‌های امنیتی‌ بیمارستان ‌ و همچنین‌ بررسی‌ مجدد و تجدید نظر در آنها بعهده‌ کمیته‌ فناوری اطلاعات‌ بیمارستان ‌ خواهد بود. این‌ کمیته همچنین‌ عالیترین‌ مرجع‌ قضاوت‌ در موردمسائل‌ و مشکلات‌ امنیت‌ اطلاعات‌ بیمارستان ‌ می‌باشد.
3-2- مسئولیت‌ اجرای‌ خط مشی‌ امنیتی‌ :
مسئولیت‌ اجرای‌ خط مشی امنیتی‌ در مورد حفاظت‌ فیزیکی‌، حفاظت شبکه‌، نرم‌افزارها‌ و اطلاعات از سیستمهای‌اطلاعاتی‌ در بیمارستان ‌ برعهده‌ مسئول فناوری اطلاعات خواهد بود. ضمنا هر سیستم‌ اطلاعاتی‌ بایـد دارای‌ مدیریـت‌ مستقلی‌ تحت‌ نظارت‌ مسئول‌ واحد باشد که‌ مجوز دسترسی‌ کامـل‌ (به منظوراداره‌ و نگهداری‌) به‌ آن‌ سیستـم‌ را خواهـد داشت‌.
3-3- مسئولیت‌ نظارت‌ بر اجرای‌ خط مشی امنیتی‌ :
مسئولیت‌ نظارت‌ بر اجرای‌ خط‌مشی‌های ‌ امنیتی‌ بیمارستان ‌ بر عهده‌ مسئول فناوری اطلاعات بیمارستان  ‌خواهد بود. در این‌ راستا، در صورتی‌ که‌ هر یک‌ از واحدها نتواند خط مشی‌های ‌ امنیتی‌ بیمارستان ‌ را بنحو مطلوب‌ اجرا نماید، مسئول فناوری اطلاعات موظف‌ است‌ کلیه‌ اقدامات‌ لازم‌ و قابل‌ قبول‌ را بـرای ‌تأمین‌ امنیت‌ و جلوگیری‌ از استفاده‌ نادرست‌ از امکانات‌ فناوری اطلاعات‌ بیمارستان ‌ به عمل‌ آورد.
3-4- مسئولیت‌ آموزش‌ خط مشی‌ امنیتی‌ :
مسئول فناوری اطلاعات بیمارستان ‌ موظف‌ است‌ تدابیر لازم‌ را برای‌ آموزش‌ سیاست‌ امنیت‌ اطلاعات‌به‌ مسئولین‌ واحدهای‌ مختلف‌ بیمارستان ‌، اتخاذ نماید. پس‌ از طی‌ این‌ مرحله‌، مسئولیت‌ آموزش ‌اعضای‌ هر واحد، بر عهده‌ مسئول‌ آن‌ واحد خواهد بود.
تبصره‌ 1: تمام‌ اعضای‌ بیمارستان ‌ (اعم‌ از اساتید، دانشجویان‌ و کارکنان‌) بعنوان‌ استفاده‌ کننده‌ از امکانات فناوری اطلاعات ‌ بیمارستان ‌، موظف‌ به‌ رعایت‌ معیارهای‌ امنیتی‌ مندرج‌ در سیاست‌ امنیت‌ می باشند.

روش انجام کار:   
کاربران شبکه رایانه ای بیمارستان  مسئول استفاده مناسب از منابع واطلاعات شبکه واحترام به حقوق دیگران می باشند واین قوانین شرایط استفاده مناسب از منابع اطلاعاتی بیمارستان  رابیان می کند :
کاربران منابع اطلاعاتی بیمارستان  بایستی حقوق مولفان و اجازه انتشارمطالب دیگران را احترام بگذارند و از زیر پا گذاشتن حقوق دیگران اجتناب کنند. این دستور العمل شامل استفاده مناسب از تمام منابع اطلاعاتی بیمارستان  شامل رایانه ها، شبکه ها و اطلاعاتی که در آنهاوجود دارد می شود.
این قوانین برای همه اساتید، کارکنان، دانشجویان وتمامی کسانی است که اجازه دسترسی به شبکه بیمارستان  برای آنهاایجادشده است .

سیاستها:
1- استفاده‌ از امکانات‌ فن‌آوری اطلاعات بیمارستان ‌ برای‌ اهداف‌ زیر قابل‌ قبول‌ است‌:
ـ تدریس‌ و یادگیری‌
ـ پژوهشهای‌ علمی‌
- افزایش‌ دانش‌ شخصی‌
ـ انجام‌ امور مشاوره‌‌ای‌ برای‌ مؤسسات‌ طرف‌ قرارداد بیمارستان ‌
ـ ایجاد ارتباطات‌ برای‌ دستیابی‌ به‌ اهداف‌ فوق‌
تبصره‌ 1: هر گونه‌ فعالیت‌ شخصی‌ در حد متعارف‌ در صورتیکه‌ مرتبط با اهداف‌ تجاری‌ نباشد قابل‌ قبول‌ است‌و مرجع‌ تشخیص‌ متعارف‌ بودن‌ استفاده از منابع شبکه‌، مسئول فناوری اطلاعات بیمارستان  می‌باشد .
تبصره‌ 2: کلیـه‌ استفاده‌های‌ فـوق‌ باید در چارچـوب‌ قوانین‌ جـاری‌ کشور و با رعـایت‌ حقوق‌ سایر افراد صورت‌ پذیرد.
تبصره‌ 3: در مورد فعالیتهایی‌ که‌ در فهرست‌ فوق‌ قرار نمی‌گیرند، صدور مجوز بعهده‌ مسئول فناوری اطلاعات و در صورت‌ لزوم‌ کمیته‌ فناوری اطلاعات‌ بیمارستان ‌ خواهد بود.
2- هر شخصی‌ که‌ به‌ شبکه‌ بیمارستان ‌ متصل‌ شود، بطور ضمنی‌ مقررات‌ و خط مشی‌های ‌امنیتی‌ بیمارستان ‌ را پذیرفته‌ است‌.
3- تمام‌ استفاده‌ کنندگان‌ از سیستم‌های‌ فناوری اطلاعات بیمارستان ‌ از جمله‌ کارکنان‌ و راهبران سیستم‌ها باید اصل‌ خصوصی‌ بودن‌ اطلاعات‌ در شبکه‌ و حفظ حریم خصوصی افراد را رعایت‌ نمایند.
4- مدیران‌ سیستم‌ تنها در صورت‌ لزوم‌ و با رعایت‌ مفاد آیین ‌نامه‌های استفاده از پست الکترونیکی و اینترنت بیمارستان  می‌توانند به‌ اطلاعات‌ کاربران‌ دسترسی‌ پیدا کنند و یا جریان‌اطلاعات‌ در شبکه‌ را بررسی‌ نمایند.
5- هر قراردادی‌ که‌ میان‌ بیمارستان ‌ و طرف دیگری‌ (اعم‌ از حقیقی‌ و حقوقی‌) منعقد گردد که‌ متضمن‌ استفاده‌ آن‌ طرف‌ از امکانات‌ فن‌آوری اطلاعات‌ بیمارستان ‌ شود، باید شامل‌ ماده‌ای‌ باشد که‌ در آن‌ لزوم ‌رعایت‌ مقررات‌ و خط‌مشی‌های‌ امنیتی‌ شبکه و سیستم‌های اطلاعاتی بیمارستان ‌ در آن تصریح‌ گردد.
6- تمامی کاربران بایستی در حفظ و استفاده بهینه از منابع اطلاعاتی شبکه و تجهیزات آن کوشاباشند.
7-کاربران نبایستی اقدام به جداکردن قطعات سخت افزاری از رایانه و یاحذف و نصب نرم افزار روی رایانه های متعلق به بیمارستان  نمایند ،مگر اینکه اجازه لازم را از مسئول فناوری دریافت کنند.
8- هیچ کاربری نبایستی با دسترسی کاربر دیگری وارد شبکه شود و از منابع شبکه استفاده کند این مورد شامل :
تلاش برای تغییر اطلاعات شخصی و یا بیمارستان ی افراد دیگر ،تلاش برای دسترسی به منابعی که خود شخص اجازه دسترسی به آنهاراندارد، تلاش برای ایجاد تغییرات درسیستمها، سیستم عاملها یا منابع اطلاعاتی، تلاش برای از کار انداختن رایانه(ها) ی بیمارستان  و یا تلاش برای از بین بردن و یا دستکاری اطلاعات موجوددر شبکه بیمارستان ، می باشد.
9- کاربران شبکه نبایستی نرم افزاری نوشته و یا نصب کنند که باعث اختلال درسایر رایانه ها و یا شبکه شود و به اطلاعات حساس و یا شخصی دیگران دسترسی پیداکنند، و یا باعث ایجاداشکال در اجزای نرم افزاری و یا سخت افزاری شبکه شوند.
10-کاربران شبکه نبایستی از نرم افزارها و یا برنامه های کاربردی استفاده کنند که باعث اختلال در کار سایر رایانه ها و یا دسترسی به حسابهای کاربری سایرین داشته باشد.
11- استفاده ازهرگونه نرم افزارمخربی که باعث صدمه زدن به رایانه ها و یا دسترسی غیر مجاز به اطلاعات شبکه شود مصداق جرم رایانه ای است .
12- کاربران شبکه بیمارستان  نبایستی به رایانه، نرم افزار، داده و یا اطلاعات شبکه، بدون داشتن اجازه دسترسی، دسترسی پیدا کنند و نبایستی درصورتیکه به شبکه بیمارستان  دسترسی دارند این دسترسی رابه دیگران بدهند.
13- لازم است کاربران شبکه هرنوع نقصی راکه در نرم افزارها و سیستم امنیت شبکه مشاهده می کنند، بلافاصله به مسئول فناوری بیمارستان  اطلاع دهند تا نسبت به رفع آن اقدام شود.
14- کاربری که به وی نام کاربری ورمز ورود اعطا شده است مسئول استفاده صحیح از این نام کاربری و رمز ورود است و استفاده غیر مجازاز آن و یا ارائه آن به دیگران تخلف میباشد.
15- کاربران شبکه بایستی حقوق دیگر کاربران رارعایت کنند، اکثر سیستم های بیمارستان  مکانیسم هایی برای محافظت از اطلاعات شخصی کاربران دارند، تلاش برای دور زدن این مکانیسمها برای دسترسی به اطلاعات سیستم ها و یا اطلاعات اشخاص مصداق جرم است.
16- استفاده از امکانات شبکه ای و ارتباطی بیمارستان  جهت گول زدن، تهدید، اذیت و آزار دیگران مجاز نمی باشد.
17- منابع ارتباطی و شبکه ای بیمارستان  نبایستی جهت ارسال موارد تبلیغاتی شخصی و یا تجاری مورد استفاده قرارگیرد.
18- کاربران نبایستی عمدابه دنبال بدست آوردن کپی یا تغییر در فایلهای اطلاعاتی، تغییر در نرم افزارها و یا تغییر در کلمات عبورسایر کاربران باشند.
19- منابع شبکه و ارتباطات بیمارستان  نباید در جهت جانبداری و یا تبلیغ از احزاب سیاسی مورد استفاده قرارگیرد.
20-مدیرسیستم برای حفظ امنیت و تسریع در عیب یابی سیستم ها میتواند با رعایت محرمانگی اطلاعات روی تمامی سیستمها مانیتورینگ نصب نمایند .این بند شامل دستگاههای امنیتی(ریاست ، مدیریت ،مسئول امور اداری،حراست)نمی شود.

واحد مدیریت اطلاعات سلامت

معاونت توسعه منابع