iso 27001 und iec 80001 team im krankenhaus - hcm · pdf fileiso 27001 und iec 80001 –...

ISO 27001 und IEC 80001 – Team im Krankenhaus

integriertes Managementsystem für

Informations-Sicherheit im Medizinbetrieb

PDCA statt DDDP*

*DDDP = Do-Do-Do-Panic

Unsere Qualität:

Wir erkennen Ihren Bedarf.

Wir entwickeln gemeinsam

Strategien und Lösungen.

Wir sind Denker und Lenker.

Unsere Vision:

Wir implementieren nachhaltige Management-

und Risikosteuerungssysteme bei unseren

Kunden.

Das Ergebnis unserer Arbeit ist täglich erlebbar und macht die Unternehmen krisenfest.

Die CETUS Consulting GmbH ist ein Premium-Anbieter hochspezialisierter

Beratungsleistungen im Umfeld der Informationssicherheit.

Wir verstehen uns als Partner der Kunden und erarbeiten gemeinschaftlich

Lösungen, die im täglichen Betrieb anwendbar und erlebbar sind.

Mission und Vision

Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 2

Das erwartet Sie …

ISO 27001 – Grundlage für erfolgreiches Management der Informationssicherheit

IEC 80001-1 – Grundlage für erfolgreiches Risikomanagement in medizinischen IT-Netzen

Krankenhaus – Spagat zwischen klassischer IT und Medizintechnik

Erfolgreiches Sicherheitsmanagement mit ISO 27001 und IEC 80001-1


ISO 27001 – Sicherheit managen

Plan

Regelwerk

Do

Analysen & Umsetzung

Check

Audits & Prüfungen

Act

Optimierung& Dialog

Internationale Norm zum

Management-Prozess der

Informationssicherheit

Basis PDCA-Zyklus nach

Deming

Regelwerk und Planung vor

blindem Tun

Risikoanalyse vor Umsetzung

Verwandschaft zum

Qualitätsmanagement


Scope definieren, ISMS-Leitlinie festlegen,

Risikoanalysemethodik festlegen

Risikoassessment

Risikoanalyse

Gegenmaßnahmen / Risikobehandlung

Management-Zustimmung und Anwendbarkeitserklärung

Ko

ntro

lliere

n u

nd

Ve

rbe

sse

rn

Prozess nach ISO/IEC 27001 (vereinfacht)

Risiken identifizieren

Analyse und Bewertung der Risiken

Optionen für die Risikobehandlung

(Transfer, Avoid, Reduce, Accept)


Schutzziele der ISO/IEC 27001

• Informationen zu rechten Zeit am rechten Ort

Verfügbarkeit

Availiability

• Informationen nur für Berechtigte

Vertraulichkeit

Confidentiality

• Informationen unverfälscht und nachvollziehbar

Integrität

Integrity


Bestandteile des ISMS

Strategie

Ressourcen

Mitarbeiter

Prinzipien

•Strategie als Bekenntnis zur Sicherheit.

•Mitarbeiter als Stütze der Sicherheitsbemühungen.

•Prinzipien des Managements als Anker der Strategie.

•Ressourcen, um die gesetzten Ziele zu erreichen.


Problematik im Krankenhaus

• Verfügbarkeit, Vertraulichkeit und Integrität sind nicht die einzigen Ziele im Medizinbetrieb

• Anwendung des MPG, der MPBetreibV und sonstiger Rechtsnormen erschwert reine Ausrichtung auf Informationssicherheit

• Einbindung von IT in medizinische Netze nicht immer einfach

• (Fast) Jedes medizinische IT-System ist auch Medizintechnik

• Patientenschutz hat Vorrang gegenüber Informationssicherheit

• Informationssicherheit sichert Patientenschutz

• Unterschiedliche Schutzziele Safety, Effectiveness und Security


Die Lösung

Anwendung der ISO 27001 als

Umbrella-Norm und Unterteilung

der Risikoanalyse in

Medizintechnik und nicht-

Medizintechnik.

Zusammenfassung in einem

Managementsystem.


IEC 80001-1 und ISO 27001 als Team

Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN

IEC 80001-1 für Medizintechnik

Risikoanalyse

Management-Zustimmung und Statement of Applicability



Geltungsbereich = gesamtes Krankenhaus

ISO 27005 für Verwaltung

Risikoanalyse



Gegenmaßnahmen / Risikobehandlung

Optionen für die Risikobehandlung

(Transfer, Avoid, Reduce, Accept) Risikobehandlung und Risikovermeidung

10

Schutzziele der IEC 80001-1

• Informationen zu richtigen Zeit am richtigen Ort unter Laborbedingungen.

Effectiveness

Wirksamkeit

• Schutz vor Gefahren für Leib und Leben.

Safety

Patientenschutz

• Summe von Verfügbarkeit, Vertraulichkeit und Integrität

Security

Sicherheit


Bestandteile des Medical Network Risk M

Richt- und Leitlinien

Ressourcen

Mitarbeiter

Prinzipien

• Richtlinien und Leitlinien analog zum ISMS

• Mitarbeiter, denen die entsprechenden Positionen zugewiesen sind.

• Prinzipien des Managements, den Kontakt zu Herstellern zu suchen.

• Ressourcen, um die gesetzten Ziele zu erreichen.


Ergebnisse

Risikoanalyse nach IEC 8000-1

• Analyse und Dokumentation relevanter Risiken der Medizinprodukte mit IT-Anbindung

• Dokumentierter Herstellerdialog

• Maßnahmenliste für Absicherung der Medizintechnik

• Berücksichtigung von Safety, Security und Effectiveness

Risikoanalyse nach ISO 27005

• Analyse und Dokumentation aller Risiken für die Informationssicherheit

• Wirtschaftsprüfer-konformes Verfahren

• Dokumentierte Risikobewertungen

• Berücksichtigung von Confidentiality, Availiability und Integrity


Unsere Leistungen

Festlegung der Information Security Policy für das Krankenhaus

Festlegung der Risk-Management Policy für Verwaltungs-IT und Medizintechnik

Unterstützung bei der Analyse der Risiken für die Verwaltungs-IT

Unterstützung bei der Risikoanalyse für die medizinischen IT-Netze / Medizintechnik

Konsolidieren der Ergebnisse in einem gemeinsamen „Statement of Applicability“

Unterstützung bei der Vorbereitung von Zertifizierungsaudits


Ansprechpartner

Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN

CETUS Consulting GmbH

Zum Forsthaus 15

48465 Schüttorf

Phone +49-(0)5923-90 35 67

Fax +49-(0)5923-90 37 85

[email protected]

15

iso 27001 und iec 80001 team im krankenhaus - hcm · pdf fileiso 27001 und iec 80001 –...

Documents