ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Transkript

1 ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic

2 Mission und Vision Die CETUS Consulting GmbH ist ein Premium-Anbieter hochspezialisierter Beratungsleistungen im Umfeld der Informationssicherheit. Wir verstehen uns als Partner der Kunden und erarbeiten gemeinschaftlich Lösungen, die im täglichen Betrieb anwendbar und erlebbar sind. Unsere Qualität: Wir erkennen Ihren Bedarf. Wir entwickeln gemeinsam Strategien und Lösungen. Wir sind Denker und Lenker. Unsere Vision: Wir implementieren nachhaltige Management- und Risikosteuerungssysteme bei unseren Kunden. Das Ergebnis unserer Arbeit ist täglich erlebbar und macht die Unternehmen krisenfest. Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 2

3 Das erwartet Sie ISO Grundlage für erfolgreiches Management der Informationssicherheit IEC Grundlage für erfolgreiches Risikomanagement in medizinischen IT-Netzen Krankenhaus Spagat zwischen klassischer IT und Medizintechnik Erfolgreiches Sicherheitsmanagement mit ISO und IEC Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 3

4 ISO Sicherheit managen Act Optimierung & Dialog Check Audits & Prüfungen Plan Regelwerk Do Analysen & Umsetzung Internationale Norm zum Management-Prozess der Informationssicherheit Basis PDCA-Zyklus nach Deming Regelwerk und Planung vor blindem Tun Risikoanalyse vor Umsetzung Verwandschaft zum Qualitätsmanagement Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 4

5 Prozess nach ISO/IEC (vereinfacht) Risikoassessment Risikoanalyse Scope definieren, ISMS-Leitlinie festlegen, Risikoanalysemethodik festlegen Risiken identifizieren Analyse und Bewertung der Risiken Optionen für die Risikobehandlung (Transfer, Avoid, Reduce, Accept) Kontrollieren und Verbessern Gegenmaßnahmen / Risikobehandlung Management-Zustimmung und Anwendbarkeitserklärung Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 5

6 Schutzziele der ISO/IEC Verfügbarkeit Availiability Informationen zu rechten Zeit am rechten Ort Vertraulichkeit Confidentiality Informationen nur für Berechtigte Integrität Integrity Informationen unverfälscht und nachvollziehbar Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 6

7 Bestandteile des ISMS Strategie Ressourcen Mitarbeiter Prinzipien Strategie als Bekenntnis zur Sicherheit. Mitarbeiter als Stütze der Sicherheitsbemühungen. Prinzipien des Managements als Anker der Strategie. Ressourcen, um die gesetzten Ziele zu erreichen. Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 7

8 Problematik im Krankenhaus Verfügbarkeit, Vertraulichkeit und Integrität sind nicht die einzigen Ziele im Medizinbetrieb Anwendung des MPG, der MPBetreibV und sonstiger Rechtsnormen erschwert reine Ausrichtung auf Informationssicherheit Einbindung von IT in medizinische Netze nicht immer einfach (Fast) Jedes medizinische IT- System ist auch Medizintechnik Patientenschutz hat Vorrang gegenüber Informationssicherheit Informationssicherheit sichert Patientenschutz Unterschiedliche Schutzziele Safety, Effectiveness und Security Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 8

9 Die Lösung Anwendung der ISO als Umbrella-Norm und Unterteilung der Risikoanalyse in Medizintechnik und nicht- Medizintechnik. Zusammenfassung in einem Managementsystem. Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 9

10 IEC und ISO als Team Geltungsbereich = gesamtes Krankenhaus IEC für Medizintechnik Risikoanalyse Risiken identifizieren ISO für Verwaltung Risikoanalyse Risiken identifizieren Analyse und Bewertung der Risiken Analyse und Bewertung der Risiken Risikobehandlung und Risikovermeidung Optionen für die Risikobehandlung (Transfer, Avoid, Reduce, Accept) Gegenmaßnahmen / Risikobehandlung Management-Zustimmung und Statement of Applicability Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 10

11 Schutzziele der IEC Effectiveness Wirksamkeit Informationen zu richtigen Zeit am richtigen Ort unter Laborbedingungen. Safety Patientenschutz Schutz vor Gefahren für Leib und Leben. Security Sicherheit Summe von Verfügbarkeit, Vertraulichkeit und Integrität Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 11

12 Bestandteile des Medical Network Risk M Richt- und Leitlinien Ressourcen Mitarbeiter Prinzipien Richtlinien und Leitlinien analog zum ISMS Mitarbeiter, denen die entsprechenden Positionen zugewiesen sind. Prinzipien des Managements, den Kontakt zu Herstellern zu suchen. Ressourcen, um die gesetzten Ziele zu erreichen. Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 12

13 Ergebnisse Risikoanalyse nach IEC Analyse und Dokumentation relevanter Risiken der Medizinprodukte mit IT- Anbindung Dokumentierter Herstellerdialog Maßnahmenliste für Absicherung der Medizintechnik Berücksichtigung von Safety, Security und Effectiveness Risikoanalyse nach ISO Analyse und Dokumentation aller Risiken für die Informationssicherheit Wirtschaftsprüfer-konformes Verfahren Dokumentierte Risikobewertungen Berücksichtigung von Confidentiality, Availiability und Integrity Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 13

14 Unsere Leistungen Festlegung der Information Security Policy für das Krankenhaus Festlegung der Risk- Management Policy für Verwaltungs-IT und Medizintechnik Unterstützung bei der Analyse der Risiken für die Verwaltungs-IT Unterstützung bei der Risikoanalyse für die medizinischen IT-Netze / Medizintechnik Konsolidieren der Ergebnisse in einem gemeinsamen Statement of Applicability Unterstützung bei der Vorbereitung von Zertifizierungsaudits Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 14

15 Ansprechpartner CETUS Consulting GmbH Zum Forsthaus Schüttorf Phone +49-(0) Fax +49-(0) Frederik Humpert-Vrielink CETUS Consulting GmbH OFFEN 15