Sicher auf Kurs. - ZTP: · Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen...
Transcript of Sicher auf Kurs. - ZTP: · Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen...
®calpana bus iness consult ing gmbh 1 einfach|präzise |wertorientiert |nachvollziehbar
Sicherauf Kurs.
CRISAM® 5NextGenerationRiskManagement
Rev.10.042015-071-15
Foto:Fotolia
IT-RisikomanagementimGesundheits- undIndustriesektor
®calpana bus iness consult ing gmbh 2 einfach|präzise |wertorientiert |nachvollziehbar
− RisikomanagementSoftwareseit2002
− Über140Installationen
− CRISAM®RMIS
– InformationRiskManagement
– MedicalRiskManagement
– EnterpriseRiskManagement
– ProjectRiskManagement
CRISAM®aproduct of calpana business consulting gmbh
calpana business consulting gmbh isteinBeratungs- undSoftwareunternehmen fürRisikomanagement.
− Beratungs- undSoftwareunternehmen
− SchwerpunktChancen- &Risikomanagement
− 18Mitarbeiter
− Standort:Linz
− 15Vertriebs- undBeratungspartner
®calpana bus iness consult ing gmbh 3 einfach|präzise |wertorientiert |nachvollziehbar
calpana business consulting gmbh
DerExpertefürRisikomanagement
MitderMethodeCRISAM® habenwireineVorgehensweiseamMarkt
etabliert,dieesdemUnternehmenermöglicht
− ihreRisiken zuidentifizieren
− Risiken inZahlen messbarzumachen
− DenRisikomanagement Prozess imUnternehmenzuetablierenundzuintegrieren
− einerprobtes Werkzeug einzusetzen,umRisiken einfach undimKontext zum Unternehmen darzustellen!
®calpana bus iness consult ing gmbh 4 einfach|präzise |wertorientiert |nachvollziehbar
Netz- undInformationssicherheit(NIS)Richtlinie- 7.2.2013
RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES
über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit
in der Union
(Artikel1Abs.1)- GegenstandundGeltungsbereichMitdieserRichtliniewerdenMaßnahmenzurGewährleistungeinerhohengemeinsamenNetz- undInformationssicherheit(imFolgenden„NIS“)inderUnionfestgelegt.
(Artikel2Abs.1)–MindestharmonisierungUnbeschadetihrerVerpflichtungennachdemUnionsrechtwerdendieMitgliedstaatennichtdarangehindert,BestimmungenzurGewährleistungeineshöherenSicherheitsniveauszuerlassenoderaufrechtzuerhalten.
Auch das EUROPÄISCHEN PARLAMENT und der RAT haben sich dazu Gedanken gemacht!
®calpana bus iness consult ing gmbh 5 einfach|präzise |wertorientiert |nachvollziehbar
2015– IT-SicherheitsgesetzinDeutschlandbeschlossen
Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von derBundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-FraktiongeändertenFassung (18/5121) beschlossen.
Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfällemelden müssen.
Quelle:www.bundestag.de
BundestagbilligtIT-Sicherheitsgesetz
®calpana bus iness consult ing gmbh 6 einfach|präzise |wertorientiert |nachvollziehbar
2015: NochindiesemJahrsollendieVerordnungenundBestimmungen fürdieEnergie- undWasserwirtschaft,dieErnährungsindustrie unddenSektorderInformations- und Kommunikationstechnologie beschlossenwerden.
2016 sollineinemsogenanntenzweiten Korb StandardsfürBanken,Versicherungen undweitereFinanzdienstleister zusammenmitdemGesundheitssektor unddemBereichTransport undVerkehr festgelegtwerden.
Bis Ende 2018 sollendieVorschriftendesGesetzesin allen kritischen Branchen umgesetztsein.
Quelle:BMI
IT-Sicherheitsgesetz(IT-SiG)– SektorenundZeitplan
WelcheSektorensollenbiswannvom IT-Sicherheitsgesetzadressiertsein?WiesiehtderweitereZeitplanaus?
DieSektorenKritischerInfrastruktureninDeutschlandQuelle:BundesamtfürSicherheitinderInformationstechnik
®calpana bus iness consult ing gmbh 7 einfach|präzise |wertorientiert |nachvollziehbar
IT-Sicherheitsgesetz(IT-SiG)– HerausforderungenfürdenBetreiber
BetreiberKritischerInfrastrukturenhabenausdem IT-SiG heraus
1. eineBerichtspflicht beiIT-SicherheitsvorfällengegenüberderBehörde
2. diePflichtzurZertifizierung (Nachweis)derErfüllungderAnforderungenausdemIT-Sicherheitskatalog
3. derIT-SicherheitskatalogreferenziertaufeinSet an Normen und Regelwerke,derenCompliancenachgewiesenwerdenmuss
4. diePflichtzurRezertifizierung (zyklischerNachweis)derAufrechterhaltungderAnforderungenausdemIT-Sicherheitskatalog
DieEinhaltungderInformationssicherheitwirdfürBetreiber„KritischerInfrastrukturen“zueinergesetzlichvorgeschriebenenPflicht“
(Foto:DVZ-Illustration)
®calpana bus iness consult ing gmbh 8 einfach|präzise |wertorientiert |nachvollziehbar
− Dieeuropäische Richtlinie 2007/47/EG wurde2010innationalesRecht(MPG,MPBetreibV)übernommen.
– SoftwareistalsMedizinproduktistexplizitaufgeführt.
− DieVerantwortungfürdasInverkehrbringen,InstallierenunddenBetriebvon„MedizinischenIT-Netzwerken“istgeregelt.
− DasMedizinproduktegesetz (MPG)fordertfürdieImplementierungMedizinischerIT-Netzwerkeden„Stand der medizinischen Wissenschaft und Technik“ .
− DieIEC80001-1 repräsentiertden„StanddermedizinischenWissenschaftundTechnik“fürdenBetriebvonMedizinproduktenundNicht-Medizinprodukten inMedizinischenIT-Netzwerken.
DieeuropäischeRichtlinie2007/47/EG
..sieinkludiertSoftwaredediziertalsMedizinprodukt!
®calpana bus iness consult ing gmbh 9 einfach|präzise |wertorientiert |nachvollziehbar
MP-Systemmedizin. Anlage
MP-H.A
Medizin-produktMP-H.A
Medizinprodukt- Verantwortung
DieVerantwortungfürdasRisikomanagementvonMedizinprodukten (MP)liegtbeimImplementiererbzw.InverkehrbringerdesMP,MP-Anlagebzw.MP-System
Medizin-produktMP-H.A
Verantwortung Vorschrift
medizin. Anlage
MP-H.B
Medizin-produktMP-H.B
Medizin-produktMP-H.A
MP-HerstellerA ISO14971
MP-HerstellerA ISO14971
MP-HerstellerB ISO14971
KH-Betreiber ISO/IEC 80001-1Medizin-produkt
Nicht-Medizin-produkt
Med
izin
isch
es I
T-N
etzw
erk
®calpana bus iness consult ing gmbh 10 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1Managementprozess
1. Grundsatzentscheidung:WerdenMedizinprodukteindasIT-Netzwerkintegriert?
2. Management Commitment:DasTOPManagementerstellt/überarbeitet Policies,stelltdieerforderlichenRessourcenbereitundsetzdenRisikomanagementProzessauf.
3. Change-Release Management:1. VonderverantwortlichenOrganisationkommtdieAnforderung:
− Bestimmte Medizinprodukteeinzusetzen− ZielundVerwendungszweckdesMP− NutzenundErwartungdurchIntegrationinIT-Netzwerk− AkzeptanzkriterienfürRestrisiken
2. VomMedizinprodukt-Herstellerkommen:− ZweckderAnbindunganeinMED-IT-Netzwerk− Implementierungsspezifikationen− EineListeanGefahrensituationen
3. VomIT-NetzwerkProviderkommen:− Implementierungsrandbedingungen− Implementierungsvorschlag− Computer- undNetzsicherheitshinweise− Notfallplanung
4. DerMED-IT-Netzwerk Risikomanagement steuertdenPlanungs- undRisikomanagementProzess.ZIEL:akzeptiertesRisiko!
4. Go Live:1. DieverantwortlicheOrganisationprüftdasverbleibendeRestrisiko
2. DerMED-IT-Risikomanager gibtdenLive-Betriebfrei
5. Live Environment Risk Management:1. Monitoring
− PrüfenaufÄnderungenderUmgebungunddesStandsderTechnik− EinhaltungderLeistungsfähigkeitundService-Vereinbarungen
2. EventManagement− DokumentationundBerichtenvonVorkommnisse− ErkennenvonnotwendigenÄnderungen
®calpana bus iness consult ing gmbh 11 einfach|präzise |wertorientiert |nachvollziehbar
RISIKOSTEUERUNG
MASSNAHMEN-PLANUNG
KOSTEN-NUTZENANALYSE
FESTLEGEN DERRAHMENBEDINGUNGEN
ANALYSE DES UMFELDS(BUSINESS IMPACT)
RISIKOANALYSE
IMPLEMENTIERUNG
ISO80001-1mitCRISAM®
®calpana bus iness consult ing gmbh 12 einfach|präzise |wertorientiert |nachvollziehbar
Unternehmensstrategie, allg. Rahmenbedingungen
Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen
Unternehmensdaten
Risikostrategie, Risikomodelle,Risikoinventar, Risikogrenzen
Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf
Risiko IST-Wert, Eigenkapitaleinsatz geplant
Maßnahmenplan,Budget, Ressourcen, Termine
Risikopolitik/ -strategie,Zielvorgabe, Rahmenbedingungen
für das Risikomanagement
Business Impact imbetrachteten Scope
Risikowert, RisikokennzahlenRisikodeckungsbedarf
Implementierungsprojekte, Projektpläne, Prüfschritte für
Maßnahmenverfolgung
SOLL-IST AbweichungMaßnahmenplan
Maßnahmen-Priorisierung,Risikokosten,
Eigenkapitaleinsatz erforderlich
RISIKOSTEUERUNG
MASSNAHMEN-PLANUNG
KOSTEN-NUTZENANALYSE
FESTLEGEN DERRAHMENBEDINGUNGEN
ANALYSE DES UMFELDS(BUSINESS IMPACT)
RISIKOANALYSE
IMPLEMENTIERUNG
CRISAM®Prozessmodell
CRISAM®stellteinstrukturiertesVorgehens- undProzessmodellzurVerfügung,dasdieAnforderungeneinesRisikomanagementsentsprechendderISO31000abdeckt.
(CRISAM® ...CorporateRiskApplicationMethod)
®calpana bus iness consult ing gmbh 13 einfach|präzise |wertorientiert |nachvollziehbar
IncidentMgmt.
ChangeMgmt
IT-Prozess
Betriebs-system
PACSServer-Cluster
Rechen-zentrum
Gebäude Strom-versorgung
PACSClientPACS
Server 1 Server 2
PACSService-Support
Verz.Dienste
LAN
Netzwerk-Services
Rechen-zentrum
Gebäude Strom-versorgung
Rechen-zentrum
Gebäude Strom-versorgung
PDMSServer-
Hardware
PDMS
PDMSService-Support
PDMSClient
KISServer-Hardware
KISKISClient
KISNicht-
Medizinprodukt
Abbildung derklinischenIT-Infrastruktur
Risikenwerden inihrerUrsacheWirkungskettevererbt!
PACSMedizin-produkt
PDMS(Nicht-)?
Medizinprodukt
klin.ProzessHersteller
KlinikIT-Provider
®calpana bus iness consult ing gmbh 14 einfach|präzise |wertorientiert |nachvollziehbar
CRISAM®LookandFeel
DiebekannteArbeitsoberflächeausdenMicrosoftOfficeProduktenerleichterndenEinstiegindenRisikomanagement-Alltag
®calpana bus iness consult ing gmbh 15 einfach|präzise |wertorientiert |nachvollziehbar
Medizinprodukteimmed.IT-Netzwerkmodellieren
SowohlMedizin-,alsauchNicht-Medizinproduktewerden immedizinischenIT-Netzwerkmodelliert
®calpana bus iness consult ing gmbh 16 einfach|präzise |wertorientiert |nachvollziehbar
RisikodarstellungnachISO14971
(ISO14971,AnnexD,Riskconceptsappliedtomedicaldevices)
Quelle: ISO 14971:2007(E)
®calpana bus iness consult ing gmbh 17 einfach|präzise |wertorientiert |nachvollziehbar
Frequent
Probable
Occassional
Remote
Improbable
Bezeichnung nachISO14971 Negliable Minor Serious Critical Catastrophic
CRISAM®RisikodarstellungnachISO14971
(ISO14971,AnnexD,Riskconceptsappliedtomedicaldevices)
Quelle:CRISAM®
AAA
AA
A
BBB
BB
B
CCC
Default
MaßzahlderAuswirkung
F
+
-
E
+
-
D
+
-
C
+
-
B
+
-
ABezeichnung
nach CRISAM®unbedeutend gering mittel hoch sehr hoch
MaßzahlderEintrittswahrscheinlichkeit
Risikomaßzahl
Semiquantita
tiveProbabilityLevels
Qualitativeseverity levels
R2
R3
R5
R6
R4
R1
®calpana bus iness consult ing gmbh 18 einfach|präzise |wertorientiert |nachvollziehbar
CRISAM®5RiskManagementInformationSystem(RMIS)
CRISAM® isteinholistischerAnsatz,denRisikomanagement-ProzessalsRiskManagementInformationSystem imUnternehmenzuimplementieren.
ComplianceMgmt.
CM
TaskMgmt.
TASK
PolicyMgmt.
AuditMgmt.
POLICY AUDIT PRMInformation
RiskManagement
IRM ERM PRM
IT-RiskMgmt.
IRM ERM
Evaluation&AggregationMethodologies
ManagementDomains
RMIS-Platform
ContentLibraries
ComplianceReferences
InformationSecurity
Management
LegalCompliance
DataPrivacy HealthCare DigitalPaymentSupervisory
ControlandDataAcquisition
CustomerspecificContent
• ISO27001• ISO80001-1• ISO20000
• COSO• COBIT• SOX
• ISO27019• EN50600• BDEW
• BSI100-2• BSI100-4
• PCI-DSS• ISAE3402• EuroCloud
• CustomerDirectives
ProjectRiskManagement
GenericqualitativeRiskMgmt.
PolicyManagement
AuditManagement
Legal&ComplianceManagement
Vendor&Supplier
Management
PRM QRM Policy Audit TASK CM VSM
ISMS LEGAL PRIVACY MEDICAL PCI SCADA CUSTOM
InformationRisk
Management
IRM
Cause&effectbased,semiquantitativeriskassessmentandaggregation
Cause&EffectAnalysisMethod
Businesslogicbased,quantitativeriskassessmentundmultiscenarioanalysis
ScenarioAnalysisMethod
EnterpriseRisk
Management
ERM
InformationSecurity
Management
LegalCompliance
DataPrivacy HealthCare DigitalPayment
SupervisoryControlandData
Acquisition
CustomerspecificContent
• ISO9001• ISO20000• ISO27001• ISO80001-1
• COSO• COBIT• SOX
• ISO27019• EN50600• BDEW
• BSI100-2• BSI100-4
• ONA7700• PCI-DSS• ISAE3402• EuroCloud
• CustomerDirectives
TaskMgmt.InternalControlSystem
Task IKS
ISMS Legal Privacy Medical PCI SCADA Custom
Ursache-Wirkungs-basierende,semiquantitativeRisikobewertung undRisikoaggregation
Cause&EffectAnalysisMethod
Business-Logic-basierende,quantitativeRisikobewertung undMulti-Szenarioanalyse
ScenarioAnalysisMethod
CRISAM® RMISEnterpriseServer
WorkflowEngine
UserRightManagement
Reports&Dashboard
ProcessModell
WebAccess
CRISAM®Explorer
®calpana bus iness consult ing gmbh 19 einfach|präzise |wertorientiert |nachvollziehbar
ComplianceAnalyse
IT-SystemewerdendurchspezielleNormenundStandardsbeschriebenunddaraufhinzertifiziert.DieCompliancezugeltendenStandardsundBestPracticeswirdmitCRISAM®automatisierterhoben.
ISO27001:2005
BSIGrundschutz
ISO80001-1
®calpana bus iness consult ing gmbh 20 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1ComplianceBericht
®calpana bus iness consult ing gmbh 21 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1ManagementBericht
®calpana bus iness consult ing gmbh 22 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1BIABericht
®calpana bus iness consult ing gmbh 23 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1Risikobericht
®calpana bus iness consult ing gmbh 24 einfach|präzise |wertorientiert |nachvollziehbar
ISO80001-1Gap-AnalyseBericht
®calpana bus iness consult ing gmbh 25 einfach|präzise |wertorientiert |nachvollziehbar
Management-DashboardundKennzahlen
KennzahlenhelfenraschwichtigeZusammenhängezuerkennenundEntscheidungenabzuleiten.CRISAM®hilftdenRisikomanagementProzessanhandKennzahlenzuführenundzusteuern.
®calpana bus iness consult ing gmbh 26 einfach|präzise |wertorientiert |nachvollziehbar
− KompatibelzuDIN/EN80001-1-2
− EntsprichtdemempfohlenenVorgehenderDeutschenKrankenhausGesellschaft
− UnterstütztdenMed.IT-RisikomanagerbeiderFormulierungderPrüfundKontrollziele
− StelltautomatisiertdieCompliancezurDIN/EN80001-1,ISO27001,ISO20000 fest
− ErfülltdieRisikomessungausderISO14971
− Contentwirdmitgeliefertundzyklischaktualisiert
WarummitCRISAM®?
DerRisikomanagement-ProzessentsprechendderISO/IEC80001-1erforderteinenachvollziehbareundbelastbareQuantifizierungvonRisiken!
®calpana bus iness consult ing gmbh 27 einfach|präzise |wertorientiert |nachvollziehbar
CRISAM® TAB-Process
CRISAM®TestandBelieve (TAB)Process
EvaluierenderCRISAM®MethodikanhandeinerunternehmensspezifischenAufgabenstellung.
TAB
Commitm
ent
FestlegenderRahmenbedingungenfürdasTAB-Projekt
KommittmentzurZeitachse,RessourcenundZielsetzungdesTAB-Projektes
1
2
OPENTAB
TAB
CLOSE
CRISAM®SetupandTraining
Ca.3Tage
AnalysenimKontextdesTAB-Scopes
CRISAM®TrialandFeaturetest
ca.7Tage
Aufberei-tenvonReportsundFindings
ca.3Tage
TAB
KickOff
1Tag
Final
Presentatio
n
1Tag
Youknowwhatyoudecide!
IhrNutzen− SielernenCRISAM®inderUmsetzungIhrereigenenAnforderungenkennen− SieerhaltenfürSienutzbareErgebnisse− SiekönnenschwergreifbareFaktenfürIhrManagementbewertbaraufbereiten− Siesindinnerhalb15Tage “ReadyforDecicion”
®calpana bus iness consult ing gmbh 28 einfach|präzise |wertorientiert |nachvollziehbar
calpanabusiness consultinggmbhA-4020Linz,Blumauerstraße 43Tel:+43(732)601216-0
Copyright©2015 www.crisam.netwww.calpana.com
Key Findings
1. Med.ITRisikomanagementistnichtneusondernbereitsjetzteinegesetzlicheVorgabe!
2. Med.ITRisikomanagementistimKerneineorganisatorischeAufgabenstellung!
3. BetreiberundDienstleistersindinderPflichtaucheinMed.ITRisikomanagementzubetreiben!
4. DerStanddermed.WissenschaftundTechnikistinderNormDIN/EN80001-1festgeschrieben!
Vielen Dank für Ihre Aufmerksamkeit!