Risikomanagement für IT- Netzwerke im medizinischen Umfeld

Größe: px

Ab Seite anzeigen:

Download "Risikomanagement für IT- Netzwerke im medizinischen Umfeld"

Sylvia Heintze
vor 8 Jahren
Abrufe

1 Risikomanagement für IT- Netzwerke im medizinischen Umfeld Mag. Bernd Baumgartner calpana business consulting gmbh Blumauerstraße 43, 4020 Linz calpana business consulting gmbh

2 Agenda Mögliche Gefahren und Szenarien Was besagt die ISO Möglicher Lösungsansatz für die Compliance Bewertung calpana business consulting gmbh 2

3 Mögliche Gefahren und Szenarien calpana business consulting gmbh 3

4 Was kann passieren? Ausfall der Bildübertragung während einer Operation am Kniegelenk Keine Übertragung der Patientendaten auf den mobilen Visitewagen Falsche Datenübermittlung des Röntgengeräts an den Mediziner Übertragung der Diagnosedaten eines Patienten in eine falsche Krankenakte Allgemeiner Verlust der Funktionalität in lebensgefährlichen Situationen calpana business consulting gmbh 4

Patientendaten auf den mobilen Visitewagen Falsche Datenübermittlung des Röntgengeräts an den

5 Wie kann das passieren? Virus auf einem Server/Client der mit Medizinprodukten über das Netzwerk verbunden ist Verlust des Netzwerks durch Ausfall von CoreSwitches ohne Redundanzen Inkompatibilität von verschiedenen Medizinprodukten im gleichen Netzwerk Inkompatibilität zwischen Medizinprodukten und Nicht- Medizinprodukten Beeinträchtigung der Integrität bzw. der Vertraulichkeit des Netzwerks durch Hacker Um diese lebensbedrohlichen Zwischenfälle zu vermeiden ist es notwendig sich über die Risiken bewusst zu werden -> RISIKOMANAGEMENT calpana business consulting gmbh 5

ohne Redundanzen Inkompatibilität von verschiedenen Medizinprodukten im gleichen Netzwerk Inkompatibilität zwischen Medizinprodukten und Nicht-

6 Was besagt die ISO calpana business consulting gmbh 6

7 Was sind die Ziele der ISO Ein Meilenstein für die Vernetzung von Medizingeräten 1. fordert Kommunikation und Abstimmung! Fordert interne Kommunikation sowie externen Betreibern, IT-Providern und Medizinprodukte Herstellern 2. definiert Schutzziele Sicherheit (für Patienten, Anwender und Dritte) Effektivität / Wirksamkeit (einer Gesundheitsmaßnahme / Workflow) Daten & Systemsicherheit (Vertraulichkeit, Verfügbarkeit, Korrektheit) 3. legt Rollen und Verantwortungen fest! Die Kompetenzen Vorgaben festzulegen, Freigaben zu erteilen Überprüfungen vorzunehmen, Restrisiken anzuerkennen sind klar festgelegt 4. implementiert einen RM-Prozess für Medizinische IT- Netzwerke Änderungs-, Konfigurations-, Überwachungs- und Ereignis-Management sind klar und nachvollziehbar definiert 5. integriert und entfernt Medizinprodukte in IT-Netze nur mit wirksamen Schutzmaßnahmen Jegliche Änderungen sind mit einem Risiko-Management-Prozess zu evaluieren und durch ein Change Permit freizugeben calpana business consulting gmbh 7

definiert Schutzziele Sicherheit (für Patienten, Anwender und Dritte) Effektivität / Wirksamkeit (einer Gesundheitsmaßnahme / Workflow) Daten & Systemsicherheit (Vertraulichkeit, Verfügbarkeit,

8 Rollen und Verantwortungen eine neue Dreiecksbeziehung ist zu regeln! Medizinprodukt Hersteller Der Verantwortungsübergang vollzieht sich vom Hersteller zum Gesundheitsbetrieb Die IT-Netzwerk Verantwortung verlagert sich in dem Medizintechnik-Bereich IT-Netzwerk- Provider Verantwortliche Organisation - Gesundheitsbetrieb Der operative IT-Netzbetrieb ist im Sinne eines externen oder internen Outsourcings im Auftrag der Medizintechnik zu betreiben Die ISO regelt die Dreiecksbeziehung calpana business consulting gmbh 8

Verantwortung verlagert sich in dem Medizintechnik-Bereich IT-Netzwerk- Provider Verantwortliche Organisation - Gesundheitsbetrieb

9 Rollen, Aufgaben und Verantwortungen Die wichtigen Rollen und Aufgaben in der ISO Verantw. Organisation bestellt legt fest berichtet MED-IT-Netzwerk Risikomanager IT-Netzwerk Provider IT- Netzwerkkomponenten Hersteller / Lieferant Medizinprodukte Hersteller liefern Informationen calpana business consulting gmbh 9

Organisation bestellt legt fest berichtet MED-IT-Netzwerk Risikomanager

10 Möglicher Lösungsansatz für die Compliance Bewertung calpana business consulting gmbh 10

11 IT-Risiko im Unternehmensverbund IT-Risiken wirken über ihren Business Impact auf Geschäftsprozesse. Unternehmen Unternehmen Marketing Human Ressource Finanz und Controlling Radiologie Intensiv Station. Organisation Prozesse / Bereiche Markt Patient Informationstechnologie Personalmarkt Rechtssprechung Arzt / Krankenpfleger Finanzierungskosten Risikoobjekte operational, finanz., strategisch calpana business consulting gmbh 11

Organisation Prozesse / Bereiche Markt Patient Informationstechnologie Personalmarkt Rechtssprechung Arzt /

12 Ziel des IT-Risikomanagement IT-Sicherheit auf ein für das Unternehmen sinnvolles und betriebswirtschaftliches Niveau zu bringen und zu halten grob fahrlässige Unternehmensführung fahrlässige Unternehmensführung Risikomanagement Sicherheitsmanagement erwartetes Schadensausmaß p.a. [ ] Maßnahmenkosten Schadenswerte MFL sicherheitstechnisches Optimum (höchste Sicherheit) Maßnahmenkosten p.a. [ ] betriebswirtschaftliches Optimum (geringste Kosten) 0 Risikoappetit Fehlertoleranz / akzeptiertes Restrisiko [%] 0 Default CCC B BB BBB A AA AAA calpana business consulting gmbh 12

a. [ ] betriebswirtschaftliches Optimum (geringste Kosten) 0 Risikoappetit 0 100 Fehlertoleranz / akzeptiertes Restrisiko [%] 0 Default CCC B BB

13 IT-Systeme sind komplex und vernetzt Systeme werden im Fehlerbaum in ihre Wirkungszusammenhänge zerlegt. Business Impact / Auswirkung Finanz und Controlling Forschung & Entwicklung Intensiv Station Eintrittswahrscheinlichkeit / Häufigkeit Med. IT- Service 1 Personalmanagem ent Software ERP Server Datenbank Server IT- Prozesse Basisdienste und Services Archivserver Client Hardware Betriebssystem Rechenzentrum Prozess. Change Mgmt DNS LAN WAN Gebäude Stromversorgung DNS Server Hardware Betriebssystem Rechenzentrum Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! calpana business consulting gmbh 13

IT- Service 1 E-Mail Personalmanagem ent Software ERP Server Datenbank Server IT- Prozesse Basisdienste und Services Archivserver Client Hardware

14 CRISAM ISO Pack Deckt alle geforderten Themen der ISO in der gewohnten CRISAM Umgebung mit spezifischen Bausteinen zur Beurteilung der Qualität ab. In drei wichtigen Kategorien ISO Prozess Bausteine Med. Produkt Bausteine Service Level Agreements (Verträge) Der ISO Pack wird in Kombination mit dem Standard ISMS Katalog zur vollständigen Modellierung des Risikobaums verwendet. calpana business consulting gmbh 14

In drei wichtigen Kategorien ISO 80001-1 Prozess Bausteine Med.

15 Stufe 3: Risikoanalyse Durchführung der Interviews Nach der Strukturanalyse erfolgt die Bewertung der modellierten Objekte Mit vorgegebenen Antwortleitfaden wird die Qualität aller Objekte bewertet calpana business consulting gmbh 15

Objekte Mit vorgegebenen Antwortleitfaden wird die

16 Stufe 4/5: Risikosteuerung (Risk Management) In richtige und notwendige Maßnahmen investieren! SOLL-IST Analyse basierend auf Policy, Anforderung aus dem Geltungsbereich und dem IST-Wert der Risikoanalyse Verbesserungsvorschläge identifizieren GAP-Analyse Vergleich der IST-Erfüllung Maßnahmen definieren calpana business consulting gmbh 16

SOLL-IST Analyse basierend auf Policy, Anforderung aus dem Geltungsbereich und dem

17 Erfüllungsgrad Stufe 4/5: Risikosteuerung (Risk Management) Auswirkung von Maßnahmen auf die Ratingkennzahl Default Schaffen von Redundanzen Brand im Rechenzentrum CCC B BBB Maßnahme 2 CCC BB BBB A AA A Maßnahme 1 BBB Trigon, Argon, Stickstoff Löschanlagen AAA calpana business consulting gmbh 17

18 CRISAM ISO Pack CRISAM generiert aus den vorhandenen Bewertungen des Risikobaumes für alle ISO relevanten Bausteine einen Bericht, der den Grad der Erfüllung zur Norm anzeigt. Gegliedert wird nach den Kapiteln der Norm: 3. Aufgaben und Verantwortlichkeiten 4. Lebenszyklusmanagement für medizinische IT-Netzwerke 5. Dokumentenprüfung Mit den jeweiligen Unterkapiteln In übersichtlichen Spinnendiagrammen Mit anschließender Detailansicht calpana business consulting gmbh 18

Aufgaben und Verantwortlichkeiten 4. Lebenszyklusmanagement für medizinische IT-Netzwerke 5.

CRISAM ISO 80001-1 Pack Der Bericht liefert eine Übersichtliche Darstellung der

19 CRISAM ISO Pack Der Bericht liefert eine Übersichtliche Darstellung der Abweichungen zur Norm, nach Kapiteln der Norm sortiert. calpana business consulting gmbh 19

Blumauerstraße 43 Tel: +43 (732) 601216-0 www.

Ähnliche Dokumente

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten