CRISAM 5. Sicher auf Kurs. Next Generation Risk Management. IT-Risikomanagement im Gesundheits- und Industriesektor

Transkript

1 Sicher auf Kurs. CRISAM 5 Next Generation Risk Management Foto: Fotolia IT-Risikomanagement im Gesundheits- und Industriesektor Ing. Mag. Wolfgang Schmidhuber wolfgang.schmidhuber@calpana.com calpanabusiness consultinggmbh 1 einfach präzise wertorientiert nachvollziehbar Rev

2 CRISAM a product of calpana business consulting gmbh calpana business consulting gmbh ist ein Beratungs- und Softwareunternehmen für Risikomanagement. Beratungs- und Softwareunternehmen Risikomanagement Software seit 2002 Schwerpunkt Chancen- & Risikomanagement 18 Mitarbeiter Standort: Linz 15 Vertriebs- und Beratungspartner Über 140 Installationen CRISAM RMIS Information Risk Management Medical Risk Management Enterprise Risk Management Project Risk Management calpanabusiness consultinggmbh 2 einfach präzise wertorientiert nachvollziehbar

3 calpana business consulting gmbh Der Experte für Risikomanagement Mit der Methode CRISAM haben wir eine Vorgehensweise am Markt etabliert, die es dem Unternehmen ermöglicht ihre Risiken zu identifizieren Risiken in Zahlen messbar zu machen Den Risikomanagement Prozess im Unternehmen zu etablieren und zu integrieren ein erprobtes Werkzeug einzusetzen, um Risiken einfach und im Kontext zum Unternehmen darzustellen! calpanabusiness consultinggmbh 3 einfach präzise wertorientiert nachvollziehbar

4 Netz- und Informationssicherheit (NIS) Richtlinie Auch das EUROPÄISCHEN PARLAMENT und der RAT haben sich dazu Gedanken gemacht! RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (Artikel 1 Abs. 1) - Gegenstand und Geltungsbereich Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (im Folgenden NIS ) in der Union festgelegt. (Artikel 2 Abs. 1) Mindestharmonisierung Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten. calpanabusiness consultinggmbh 4 einfach präzise wertorientiert nachvollziehbar

5 2015 IT-Sicherheitsgesetz in Deutschland beschlossen Bundestag billigt IT-Sicherheitsgesetz Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-Fraktion geändertenfassung (18/5121) beschlossen. Das Gesetz regelt unter anderem, dass Betreiber sogenannter kritischer Infrastrukturen ein Mindestniveau an IT- Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Quelle: calpanabusiness consultinggmbh 5 einfach präzise wertorientiert nachvollziehbar

6 IT-Sicherheitsgesetz (IT-SiG) Sektoren und Zeitplan Welche Sektoren sollen bis wann vom IT-Sicherheitsgesetz adressiert sein? Wie sieht der weitere Zeitplan aus? 2015: Noch in diesem Jahr sollen die Verordnungen und Bestimmungen für die Energie- und Wasserwirtschaft, die Ernährungsindustrie und den Sektor der Informations- und Kommunikationstechnologie beschlossen werden soll in einem sogenannten zweiten Korb Standards für Banken, Versicherungen und weitere Finanzdienstleister zusammen mit dem Gesundheitssektor und dem Bereich Transport und Verkehr festgelegt werden. Bis Ende 2018 sollen die Vorschriften des Gesetzes in allen kritischen Branchen umgesetzt sein. Quelle: BMI Die Sektoren Kritischer Infrastrukturen in Deutschland Quelle: Bundesamt für Sicherheit in der Informationstechnik calpanabusiness consultinggmbh 6 einfach präzise wertorientiert nachvollziehbar

7 IT-Sicherheitsgesetz (IT-SiG) Herausforderungen für den Betreiber Die Einhaltung der Informationssicherheit wird für Betreiber Kritischer Infrastrukturen zu einer gesetzlich vorgeschriebenen Pflicht Betreiber Kritischer Infrastrukturen haben aus dem IT-SiG heraus 1. eine Berichtspflicht bei IT-Sicherheitsvorfällen gegenüber der Behörde 2. die Pflicht zur Zertifizierung (Nachweis) der Erfüllung der Anforderungen aus dem IT-Sicherheitskatalog 3. der IT-Sicherheitskatalog referenziert auf ein Set an Normen und Regelwerke, deren Compliance nachgewiesen werden muss (Foto: DVZ-Illustration) 4. die Pflicht zur Rezertifizierung (zyklischer Nachweis) der Aufrechterhaltung der Anforderungen aus dem IT- Sicherheitskatalog calpanabusiness consultinggmbh 7 einfach präzise wertorientiert nachvollziehbar

8 Die europäische Richtlinie 2007/47/EG.. sie inkludiert Software dediziert als Medizinprodukt! Die europäische Richtlinie 2007/47/EG wurde 2010 in nationales Recht (MPG, MPBetreibV) übernommen. Software ist als Medizinprodukt ist explizit aufgeführt. Die Verantwortung für das Inverkehrbringen, Installieren und den Betrieb von Medizinischen IT-Netzwerken ist geregelt. Das Medizinproduktegesetz (MPG) fordert für die Implementierung Medizinischer IT-Netzwerke den Stand der medizinischen Wissenschaft und Technik. Die IEC repräsentiert den Stand der medizinischen Wissenschaft und Technik für den Betrieb von Medizinprodukten und Nicht- Medizinprodukten in Medizinischen IT-Netzwerken. calpanabusiness consultinggmbh 8 einfach präzise wertorientiert nachvollziehbar

9 Medizinprodukt - Verantwortung Die Verantwortung für das Risikomanagement von Medizinprodukten (MP) liegt beim Implementierer bzw. Inverkehrbringer des MP, MP-Anlage bzw. MP-System Medizinisches IT-Netzwerk MP-System medizin. Anlage Medizinprodukt MP-H. A Medizinprodukt MP-H. A MP-H. A medizin. Anlage Medizinprodukt MP-H. A Medizinprodukt MP-H. B MP-H. B Verantwortung Vorschrift MP-Hersteller A ISO MP-Hersteller A ISO MP-Hersteller B ISO KH-Betreiber ISO/IEC Medizinprodukt Nicht- Medizinprodukt calpanabusiness consultinggmbh 9 einfach präzise wertorientiert nachvollziehbar

10 ISO Managementprozess 1. Grundsatzentscheidung: Werden Medizinprodukte in das IT-Netzwerk integriert? 2. Management Commitment: Das TOP Management erstellt/überarbeitet Policies, stellt die erforderlichen Ressourcen bereit und setz den Risikomanagement Prozess auf. 3. Change-Release Management: 1. Von der verantwortlichen Organisation kommt die Anforderung: Bestimmte Medizinprodukte einzusetzen Ziel und Verwendungszweck des MP Nutzen und Erwartung durch Integration in IT-Netzwerk Akzeptanzkriterien für Restrisiken 2. Vom Medizinprodukt-Hersteller kommen: Zweck der Anbindung an ein MED-IT-Netzwerk Implementierungsspezifikationen Eine Liste an Gefahrensituationen 3. Vom IT-Netzwerk Provider kommen: Implementierungsrandbedingungen Implementierungsvorschlag Computer- und Netzsicherheitshinweise Notfallplanung 4. Der MED-IT-Netzwerk Risikomanagement steuert den Planungs- und Risikomanagement Prozess. ZIEL: akzeptiertes Risiko! 4. Go Live: 1. Die verantwortliche Organisation prüft das verbleibende Restrisiko 2. Der MED-IT-Risikomanager gibt den Live-Betrieb frei 5. Live Environment Risk Management: 1. Monitoring Prüfen auf Änderungen der Umgebung und des Stands der Technik Einhaltung der Leistungsfähigkeit und Service-Vereinbarungen 2. Event Management Dokumentation und Berichten von Vorkommnisse Erkennen von notwendigen Änderungen calpanabusiness consultinggmbh 10 einfach präzise wertorientiert nachvollziehbar

11 ISO mit CRISAM FESTLEGEN DER RAHMENBEDINGUNGEN ANALYSE DES UMFELDS (BUSINESS IMPACT) RISIKOANALYSE RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE IMPLEMENTIERUNG calpanabusiness consultinggmbh 11 einfach präzise wertorientiert nachvollziehbar

12 CRISAM Prozessmodell CRISAM stellt ein strukturiertes Vorgehens- und Prozessmodell zur Verfügung, das die Anforderungen eines Risikomanagements entsprechend der ISO abdeckt. Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich Maßnahmenplan, Budget, Ressourcen, Termine (CRISAM... Corporate Risk Application Method) IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung calpanabusiness consultinggmbh 12 einfach präzise wertorientiert nachvollziehbar

13 Abbildung der klinischen IT-Infrastruktur Risiken werden in ihrer Ursache Wirkungskette vererbt! Hersteller klin. Prozess IT-Provider Klinik PACS Medizin-produkt PDMS (Nicht-)? Medizinprodukt KIS Nicht- Medizinprodukt PACS PACS Client IT-Prozess Netzwerk- Services PDMS Client PDMS KIS Client KIS Betriebssystem PACS Server- Cluster PACS Service- Support Incident Mgmt. Change Mgmt Verz. Dienste LAN PDMS Service- Support PDMS Server- Hardware KIS Server- Hardware Server 1 Server 2 Rechenzentrum Rechenzentrum Rechenzentrum Gebäude Stromversorgung Gebäude Stromversorgung Gebäude Stromversorgung calpanabusiness consultinggmbh 13 einfach präzise wertorientiert nachvollziehbar

14 CRISAM Look and Feel Die bekannte Arbeitsoberfläche aus den Microsoft Office Produkten erleichtern den Einstieg in den Risikomanagement-Alltag calpanabusiness consultinggmbh 14 einfach präzise wertorientiert nachvollziehbar

15 Medizinprodukte im med. IT-Netzwerk modellieren Sowohl Medizin-, als auch Nicht-Medizinprodukte werden im medizinischen IT-Netzwerk modelliert calpanabusiness consultinggmbh 15 einfach präzise wertorientiert nachvollziehbar

16 Risikodarstellung nach ISO (ISO 14971, Annex D, Risk concepts applied to medical devices) Quelle: ISO 14971:2007(E) calpanabusiness consultinggmbh 16 einfach präzise wertorientiert nachvollziehbar

17 CRISAM Risikodarstellung nach ISO (ISO 14971, Annex D, Risk concepts applied to medical devices) F Maßzahl der Eintrittswahrscheinlichkeit Frequent + - Semiquantitative Probability Levels Probable Occassional Remote E + - D + - C + - B R1 R2 R3 R5 R6 Risikomaßzahl AAA AA A BBB BB B CCC Default + Improbable - A R4 Maßzahl der Auswirkung Bezeichnung nach CRISAM unbedeutend gering mittel hoch sehr hoch Bezeichnung nach ISO Negliable Minor Serious Critical Catastrophic Qualitative severitylevels Quelle: CRISAM calpanabusiness consultinggmbh 17 einfach präzise wertorientiert nachvollziehbar

18 CRISAM 5 Risk Management Information System (RMIS) CRISAM ist ein holistischer Ansatz, den Risikomanagement-Prozess als Risk Management Information System im Unternehmen zu implementieren. Compliance References ISO 9001 ISO ISO ISO COSO COBIT COBIT SOX SOX ISO EN EN BDEW BDEW BSI BSI ON A7700 PCI-DSS ISAE 3402 EuroCloud Customer Directives Content Libraries Management Domains ISMS LEGAL Legal PRIVACY Privacy MEDICAL Medical PCI SCADA CUSTOM Custom Information Supervisory Legal Digital Customer specific Security Data Privacy Health Care Digital Payment Control and Data Compliance Payment Content Management Acquisition POLICY IRM AUDIT ERM PRM TASK QRM IRM Policy ERM Audit PRM TASK Task CM VSM IKS Information Enterprise Information Generic Policy Audit Project Task Risk IT-Risk Policy Audit Compliance Legal & Vendor Internal & Risk Risk qualitative Risk Task Mgmt. Mgmt. Mgmt. Management Mgmt. Mgmt. Management Management Compliance Mgmt. Supplier Control Management Management Management Risk Mgmt. Management Management System Evaluation & Aggregation Methodologies Cause & Effect Analysis Method Ursache-Wirkungs-basierende, Cause & effect based, semi semiquantitative Risikobewertung risk assessment und and Risikoaggregation Scenario Analysis Method Business-Logic-basierende, logic based, quantitative Risikobewertung risk assessment und multi Multi-Szenarioanalyse scenario analysis RMIS-Platform Process Modell CRISAM Explorer CRISAM RMIS Enterprise Server Web Access User Right Management Workflow Engine Reports & Dashboard calpanabusiness consultinggmbh 18 einfach präzise wertorientiert nachvollziehbar

19 Compliance Analyse IT-Systeme werden durch spezielle Normen und Standards beschrieben und daraufhin zertifiziert. Die Compliance zu geltenden Standards und Best Practices wird mit CRISAM automatisiert erhoben. ISO 27001:2005 ISO BSI Grundschutz calpanabusiness consultinggmbh 19 einfach präzise wertorientiert nachvollziehbar

20 ISO Compliance Bericht calpanabusiness consultinggmbh 20 einfach präzise wertorientiert nachvollziehbar

21 ISO Management Bericht calpanabusiness consultinggmbh 21 einfach präzise wertorientiert nachvollziehbar

22 ISO BIA Bericht calpanabusiness consultinggmbh 22 einfach präzise wertorientiert nachvollziehbar

23 ISO Risikobericht calpanabusiness consultinggmbh 23 einfach präzise wertorientiert nachvollziehbar

24 ISO Gap-Analyse Bericht calpanabusiness consultinggmbh 24 einfach präzise wertorientiert nachvollziehbar

25 Management-Dashboard und Kennzahlen Kennzahlen helfen rasch wichtige Zusammenhänge zu erkennen und Entscheidungen abzuleiten. CRISAM hilft den Risikomanagement Prozess anhand Kennzahlen zu führen und zu steuern. calpanabusiness consultinggmbh 25 einfach präzise wertorientiert nachvollziehbar

26 Warum mit CRISAM? Der Risikomanagement-Prozess entsprechend der ISO/IEC erfordert eine nachvollziehbare und belastbare Quantifizierung von Risiken! Kompatibel zu DIN/EN Entspricht dem empfohlenen Vorgehen der Deutschen Krankenhaus Gesellschaft Unterstützt den Med. IT-Risikomanager bei der Formulierung der Prüf und Kontrollziele Stellt automatisiert die Compliance zur DIN/EN , ISO 27001, ISO fest Erfüllt die Risikomessung aus der ISO Content wird mitgeliefert und zyklisch aktualisiert calpanabusiness consultinggmbh 26 einfach präzise wertorientiert nachvollziehbar

27 CRISAM Test and Believe (TAB) Process Evaluieren der CRISAM Methodik anhand einer unternehmensspezifischen Aufgabenstellung. OPEN TAB 1 2 Festlegen der Rahmenbedingungen für das TAB-Projekt Kommittment zur Zeitachse, Ressourcen und Zielsetzung des TAB-Projektes CRISAM TAB-Process TAB Commitment CRISAM Setup and Training TAB Kick Off Analysen im Kontext des TAB-Scopes CRISAM Trial and Featuretest Aufbereiten von Reports und Findings Final Presentation TAB CLOSE Ca. 3 Tage 1 Tag ca. 7 Tage ca. 3 Tage 1 Tag Ihr Nutzen Sie lernen CRISAM in der Umsetzung Ihrer eigenen Anforderungen kennen Sie erhalten für Sie nutzbare Ergebnisse Sie können schwer greifbare Fakten für Ihr Management bewertbar aufbereiten Sie sind innerhalb 15 Tage Ready for Decicion You know what you decide! calpanabusiness consultinggmbh 27 einfach präzise wertorientiert nachvollziehbar

28 Key Findings 1. Med. IT Risikomanagement ist nicht neu sondern bereits jetzt eine gesetzliche Vorgabe! 2. Med. IT Risikomanagement ist im Kern eine organisatorische Aufgabenstellung! 3. Betreiber und Dienstleister sind in der Pflicht auch ein Med. IT Risikomanagement zu betreiben! 4. Der Stand der med. Wissenschaft und Technik ist in der Norm DIN/EN festgeschrieben! Vielen Dank für Ihre Aufmerksamkeit! calpana business consultinggmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) Copyright calpanabusiness consultinggmbh 28 einfach präzise wertorientiert nachvollziehbar