Post on 06-Feb-2018
ISO 27001 und IEC 80001 – Team im Krankenhaus
integriertes Managementsystem für
Informations-Sicherheit im Medizinbetrieb
PDCA statt DDDP*
*DDDP = Do-Do-Do-Panic
Unsere Qualität:
Wir erkennen Ihren Bedarf.
Wir entwickeln gemeinsam
Strategien und Lösungen.
Wir sind Denker und Lenker.
Unsere Vision:
Wir implementieren nachhaltige Management-
und Risikosteuerungssysteme bei unseren
Kunden.
Das Ergebnis unserer Arbeit ist täglich erlebbar und macht die Unternehmen krisenfest.
Die CETUS Consulting GmbH ist ein Premium-Anbieter hochspezialisierter
Beratungsleistungen im Umfeld der Informationssicherheit.
Wir verstehen uns als Partner der Kunden und erarbeiten gemeinschaftlich
Lösungen, die im täglichen Betrieb anwendbar und erlebbar sind.
Mission und Vision
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 2
Das erwartet Sie …
ISO 27001 – Grundlage für erfolgreiches Management der Informationssicherheit
IEC 80001-1 – Grundlage für erfolgreiches Risikomanagement in medizinischen IT-Netzen
Krankenhaus – Spagat zwischen klassischer IT und Medizintechnik
Erfolgreiches Sicherheitsmanagement mit ISO 27001 und IEC 80001-1
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 3
ISO 27001 – Sicherheit managen
Plan
Regelwerk
Do
Analysen & Umsetzung
Check
Audits & Prüfungen
Act
Optimierung& Dialog
Internationale Norm zum
Management-Prozess der
Informationssicherheit
Basis PDCA-Zyklus nach
Deming
Regelwerk und Planung vor
blindem Tun
Risikoanalyse vor Umsetzung
Verwandschaft zum
Qualitätsmanagement
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 4
Scope definieren, ISMS-Leitlinie festlegen,
Risikoanalysemethodik festlegen
Risikoassessment
Risikoanalyse
Gegenmaßnahmen / Risikobehandlung
Management-Zustimmung und Anwendbarkeitserklärung
Ko
ntro
lliere
n u
nd
Ve
rbe
sse
rn
Prozess nach ISO/IEC 27001 (vereinfacht)
Risiken identifizieren
Analyse und Bewertung der Risiken
Optionen für die Risikobehandlung
(Transfer, Avoid, Reduce, Accept)
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 5
Schutzziele der ISO/IEC 27001
• Informationen zu rechten Zeit am rechten Ort
Verfügbarkeit
Availiability
• Informationen nur für Berechtigte
Vertraulichkeit
Confidentiality
• Informationen unverfälscht und nachvollziehbar
Integrität
Integrity
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 6
Bestandteile des ISMS
Strategie
Ressourcen
Mitarbeiter
Prinzipien
•Strategie als Bekenntnis zur Sicherheit.
•Mitarbeiter als Stütze der Sicherheitsbemühungen.
•Prinzipien des Managements als Anker der Strategie.
•Ressourcen, um die gesetzten Ziele zu erreichen.
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 7
Problematik im Krankenhaus
• Verfügbarkeit, Vertraulichkeit und Integrität sind nicht die einzigen Ziele im Medizinbetrieb
• Anwendung des MPG, der MPBetreibV und sonstiger Rechtsnormen erschwert reine Ausrichtung auf Informationssicherheit
• Einbindung von IT in medizinische Netze nicht immer einfach
• (Fast) Jedes medizinische IT-System ist auch Medizintechnik
• Patientenschutz hat Vorrang gegenüber Informationssicherheit
• Informationssicherheit sichert Patientenschutz
• Unterschiedliche Schutzziele Safety, Effectiveness und Security
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 8
Die Lösung
Anwendung der ISO 27001 als
Umbrella-Norm und Unterteilung
der Risikoanalyse in
Medizintechnik und nicht-
Medizintechnik.
Zusammenfassung in einem
Managementsystem.
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 9
IEC 80001-1 und ISO 27001 als Team
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN
IEC 80001-1 für Medizintechnik
Risikoanalyse
Management-Zustimmung und Statement of Applicability
Risiken identifizieren
Analyse und Bewertung der Risiken
Geltungsbereich = gesamtes Krankenhaus
ISO 27005 für Verwaltung
Risikoanalyse
Risiken identifizieren
Analyse und Bewertung der Risiken
Gegenmaßnahmen / Risikobehandlung
Optionen für die Risikobehandlung
(Transfer, Avoid, Reduce, Accept) Risikobehandlung und Risikovermeidung
10
Schutzziele der IEC 80001-1
• Informationen zu richtigen Zeit am richtigen Ort unter Laborbedingungen.
Effectiveness
Wirksamkeit
• Schutz vor Gefahren für Leib und Leben.
Safety
Patientenschutz
• Summe von Verfügbarkeit, Vertraulichkeit und Integrität
Security
Sicherheit
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 11
Bestandteile des Medical Network Risk M
Richt- und Leitlinien
Ressourcen
Mitarbeiter
Prinzipien
• Richtlinien und Leitlinien analog zum ISMS
• Mitarbeiter, denen die entsprechenden Positionen zugewiesen sind.
• Prinzipien des Managements, den Kontakt zu Herstellern zu suchen.
• Ressourcen, um die gesetzten Ziele zu erreichen.
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 12
Ergebnisse
Risikoanalyse nach IEC 8000-1
• Analyse und Dokumentation relevanter Risiken der Medizinprodukte mit IT-Anbindung
• Dokumentierter Herstellerdialog
• Maßnahmenliste für Absicherung der Medizintechnik
• Berücksichtigung von Safety, Security und Effectiveness
Risikoanalyse nach ISO 27005
• Analyse und Dokumentation aller Risiken für die Informationssicherheit
• Wirtschaftsprüfer-konformes Verfahren
• Dokumentierte Risikobewertungen
• Berücksichtigung von Confidentiality, Availiability und Integrity
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 13
Unsere Leistungen
Festlegung der Information Security Policy für das Krankenhaus
Festlegung der Risk-Management Policy für Verwaltungs-IT und Medizintechnik
Unterstützung bei der Analyse der Risiken für die Verwaltungs-IT
Unterstützung bei der Risikoanalyse für die medizinischen IT-Netze / Medizintechnik
Konsolidieren der Ergebnisse in einem gemeinsamen „Statement of Applicability“
Unterstützung bei der Vorbereitung von Zertifizierungsaudits
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN 14
Ansprechpartner
Frederik Humpert-Vrielink | CETUS Consulting GmbH | OFFEN
CETUS Consulting GmbH
Zum Forsthaus 15
48465 Schüttorf
Phone +49-(0)5923-90 35 67
Fax +49-(0)5923-90 37 85
info@cetus-consulting.de
15