Sicher auf Kurs. - ZTP: · Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen...

®calpana bus iness consult ing gmbh 1 einfach|präzise |wertorientiert |nachvollziehbar

Sicherauf Kurs.

CRISAM® 5NextGenerationRiskManagement

Rev.10.042015-071-15

Foto:Fotolia

[email protected]

IT-RisikomanagementimGesundheits- undIndustriesektor


− RisikomanagementSoftwareseit2002

− Über140Installationen

− CRISAM®RMIS

– InformationRiskManagement

– MedicalRiskManagement

– EnterpriseRiskManagement

– ProjectRiskManagement

CRISAM®aproduct of calpana business consulting gmbh

calpana business consulting gmbh isteinBeratungs- undSoftwareunternehmen fürRisikomanagement.

− Beratungs- undSoftwareunternehmen

− SchwerpunktChancen- &Risikomanagement

− 18Mitarbeiter

− Standort:Linz

− 15Vertriebs- undBeratungspartner


calpana business consulting gmbh

DerExpertefürRisikomanagement

MitderMethodeCRISAM® habenwireineVorgehensweiseamMarkt

etabliert,dieesdemUnternehmenermöglicht

− ihreRisiken zuidentifizieren

− Risiken inZahlen messbarzumachen

− DenRisikomanagement Prozess imUnternehmenzuetablierenundzuintegrieren

− einerprobtes Werkzeug einzusetzen,umRisiken einfach undimKontext zum Unternehmen darzustellen!


Netz- undInformationssicherheit(NIS)Richtlinie- 7.2.2013

RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit

in der Union

(Artikel1Abs.1)- GegenstandundGeltungsbereichMitdieserRichtliniewerdenMaßnahmenzurGewährleistungeinerhohengemeinsamenNetz- undInformationssicherheit(imFolgenden„NIS“)inderUnionfestgelegt.

(Artikel2Abs.1)–MindestharmonisierungUnbeschadetihrerVerpflichtungennachdemUnionsrechtwerdendieMitgliedstaatennichtdarangehindert,BestimmungenzurGewährleistungeineshöherenSicherheitsniveauszuerlassenoderaufrechtzuerhalten.

Auch das EUROPÄISCHEN PARLAMENT und der RAT haben sich dazu Gedanken gemacht!


2015– IT-SicherheitsgesetzinDeutschlandbeschlossen

Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von derBundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-FraktiongeändertenFassung (18/5121) beschlossen.

Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfällemelden müssen.

Quelle:www.bundestag.de

BundestagbilligtIT-Sicherheitsgesetz


2015: NochindiesemJahrsollendieVerordnungenundBestimmungen fürdieEnergie- undWasserwirtschaft,dieErnährungsindustrie unddenSektorderInformations- und Kommunikationstechnologie beschlossenwerden.

2016 sollineinemsogenanntenzweiten Korb StandardsfürBanken,Versicherungen undweitereFinanzdienstleister zusammenmitdemGesundheitssektor unddemBereichTransport undVerkehr festgelegtwerden.

Bis Ende 2018 sollendieVorschriftendesGesetzesin allen kritischen Branchen umgesetztsein.

Quelle:BMI

IT-Sicherheitsgesetz(IT-SiG)– SektorenundZeitplan

WelcheSektorensollenbiswannvom IT-Sicherheitsgesetzadressiertsein?WiesiehtderweitereZeitplanaus?

DieSektorenKritischerInfrastruktureninDeutschlandQuelle:BundesamtfürSicherheitinderInformationstechnik


IT-Sicherheitsgesetz(IT-SiG)– HerausforderungenfürdenBetreiber

BetreiberKritischerInfrastrukturenhabenausdem IT-SiG heraus

1. eineBerichtspflicht beiIT-SicherheitsvorfällengegenüberderBehörde

2. diePflichtzurZertifizierung (Nachweis)derErfüllungderAnforderungenausdemIT-Sicherheitskatalog

3. derIT-SicherheitskatalogreferenziertaufeinSet an Normen und Regelwerke,derenCompliancenachgewiesenwerdenmuss

4. diePflichtzurRezertifizierung (zyklischerNachweis)derAufrechterhaltungderAnforderungenausdemIT-Sicherheitskatalog

DieEinhaltungderInformationssicherheitwirdfürBetreiber„KritischerInfrastrukturen“zueinergesetzlichvorgeschriebenenPflicht“

(Foto:DVZ-Illustration)


− Dieeuropäische Richtlinie 2007/47/EG wurde2010innationalesRecht(MPG,MPBetreibV)übernommen.

– SoftwareistalsMedizinproduktistexplizitaufgeführt.

− DieVerantwortungfürdasInverkehrbringen,InstallierenunddenBetriebvon„MedizinischenIT-Netzwerken“istgeregelt.

− DasMedizinproduktegesetz (MPG)fordertfürdieImplementierungMedizinischerIT-Netzwerkeden„Stand der medizinischen Wissenschaft und Technik“ .

− DieIEC80001-1 repräsentiertden„StanddermedizinischenWissenschaftundTechnik“fürdenBetriebvonMedizinproduktenundNicht-Medizinprodukten inMedizinischenIT-Netzwerken.

DieeuropäischeRichtlinie2007/47/EG

..sieinkludiertSoftwaredediziertalsMedizinprodukt!


MP-Systemmedizin. Anlage

MP-H.A

Medizin-produktMP-H.A

Medizinprodukt- Verantwortung

DieVerantwortungfürdasRisikomanagementvonMedizinprodukten (MP)liegtbeimImplementiererbzw.InverkehrbringerdesMP,MP-Anlagebzw.MP-System


Verantwortung Vorschrift

medizin. Anlage

MP-H.B

Medizin-produktMP-H.B


MP-HerstellerA ISO14971

MP-HerstellerA ISO14971

MP-HerstellerB ISO14971

KH-Betreiber ISO/IEC 80001-1Medizin-produkt

Nicht-Medizin-produkt

Med

izin

isch

es I

T-N

etzw

erk


ISO80001-1Managementprozess

1. Grundsatzentscheidung:WerdenMedizinprodukteindasIT-Netzwerkintegriert?

2. Management Commitment:DasTOPManagementerstellt/überarbeitet Policies,stelltdieerforderlichenRessourcenbereitundsetzdenRisikomanagementProzessauf.

3. Change-Release Management:1. VonderverantwortlichenOrganisationkommtdieAnforderung:

− Bestimmte Medizinprodukteeinzusetzen− ZielundVerwendungszweckdesMP− NutzenundErwartungdurchIntegrationinIT-Netzwerk− AkzeptanzkriterienfürRestrisiken

2. VomMedizinprodukt-Herstellerkommen:− ZweckderAnbindunganeinMED-IT-Netzwerk− Implementierungsspezifikationen− EineListeanGefahrensituationen

3. VomIT-NetzwerkProviderkommen:− Implementierungsrandbedingungen− Implementierungsvorschlag− Computer- undNetzsicherheitshinweise− Notfallplanung

4. DerMED-IT-Netzwerk Risikomanagement steuertdenPlanungs- undRisikomanagementProzess.ZIEL:akzeptiertesRisiko!

4. Go Live:1. DieverantwortlicheOrganisationprüftdasverbleibendeRestrisiko

2. DerMED-IT-Risikomanager gibtdenLive-Betriebfrei

5. Live Environment Risk Management:1. Monitoring

− PrüfenaufÄnderungenderUmgebungunddesStandsderTechnik− EinhaltungderLeistungsfähigkeitundService-Vereinbarungen

2. EventManagement− DokumentationundBerichtenvonVorkommnisse− ErkennenvonnotwendigenÄnderungen


RISIKOSTEUERUNG

MASSNAHMEN-PLANUNG

KOSTEN-NUTZENANALYSE

FESTLEGEN DERRAHMENBEDINGUNGEN

ANALYSE DES UMFELDS(BUSINESS IMPACT)

RISIKOANALYSE

IMPLEMENTIERUNG

ISO80001-1mitCRISAM®


Unternehmensstrategie, allg. Rahmenbedingungen

Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen

Unternehmensdaten

Risikostrategie, Risikomodelle,Risikoinventar, Risikogrenzen

Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf

Risiko IST-Wert, Eigenkapitaleinsatz geplant

Maßnahmenplan,Budget, Ressourcen, Termine

Risikopolitik/ -strategie,Zielvorgabe, Rahmenbedingungen

für das Risikomanagement

Business Impact imbetrachteten Scope

Risikowert, RisikokennzahlenRisikodeckungsbedarf

Implementierungsprojekte, Projektpläne, Prüfschritte für

Maßnahmenverfolgung

SOLL-IST AbweichungMaßnahmenplan

Maßnahmen-Priorisierung,Risikokosten,

Eigenkapitaleinsatz erforderlich

RISIKOSTEUERUNG

MASSNAHMEN-PLANUNG

KOSTEN-NUTZENANALYSE

FESTLEGEN DERRAHMENBEDINGUNGEN

ANALYSE DES UMFELDS(BUSINESS IMPACT)

RISIKOANALYSE

IMPLEMENTIERUNG

CRISAM®Prozessmodell

CRISAM®stellteinstrukturiertesVorgehens- undProzessmodellzurVerfügung,dasdieAnforderungeneinesRisikomanagementsentsprechendderISO31000abdeckt.

(CRISAM® ...CorporateRiskApplicationMethod)


IncidentMgmt.

ChangeMgmt

IT-Prozess

Betriebs-system

PACSServer-Cluster

Rechen-zentrum

Gebäude Strom-versorgung

PACSClientPACS

Server 1 Server 2

PACSService-Support

Verz.Dienste

LAN

Netzwerk-Services

Rechen-zentrum


Rechen-zentrum


PDMSServer-

Hardware

PDMS

PDMSService-Support

PDMSClient

KISServer-Hardware

KISKISClient

KISNicht-

Medizinprodukt

Abbildung derklinischenIT-Infrastruktur

Risikenwerden inihrerUrsacheWirkungskettevererbt!

PACSMedizin-produkt

PDMS(Nicht-)?

Medizinprodukt

klin.ProzessHersteller

KlinikIT-Provider


CRISAM®LookandFeel

DiebekannteArbeitsoberflächeausdenMicrosoftOfficeProduktenerleichterndenEinstiegindenRisikomanagement-Alltag


Medizinprodukteimmed.IT-Netzwerkmodellieren

SowohlMedizin-,alsauchNicht-Medizinproduktewerden immedizinischenIT-Netzwerkmodelliert


RisikodarstellungnachISO14971

(ISO14971,AnnexD,Riskconceptsappliedtomedicaldevices)

Quelle: ISO 14971:2007(E)


Frequent

Probable

Occassional

Remote

Improbable

Bezeichnung nachISO14971 Negliable Minor Serious Critical Catastrophic

CRISAM®RisikodarstellungnachISO14971

(ISO14971,AnnexD,Riskconceptsappliedtomedicaldevices)

Quelle:CRISAM®

AAA

AA

A

BBB

BB

B

CCC

Default

MaßzahlderAuswirkung

F

+

-

E

+

-

D

+

-

C

+

-

B

+

-

ABezeichnung

nach CRISAM®unbedeutend gering mittel hoch sehr hoch

MaßzahlderEintrittswahrscheinlichkeit

Risikomaßzahl

Semiquantita

tiveProbabilityLevels

Qualitativeseverity levels

R2

R3

R5

R6

R4

R1


CRISAM®5RiskManagementInformationSystem(RMIS)

CRISAM® isteinholistischerAnsatz,denRisikomanagement-ProzessalsRiskManagementInformationSystem imUnternehmenzuimplementieren.

ComplianceMgmt.

CM

TaskMgmt.

TASK

PolicyMgmt.

AuditMgmt.

POLICY AUDIT PRMInformation

RiskManagement

IRM ERM PRM

IT-RiskMgmt.

IRM ERM

Evaluation&AggregationMethodologies

ManagementDomains

RMIS-Platform

ContentLibraries

ComplianceReferences

InformationSecurity

Management

LegalCompliance

DataPrivacy HealthCare DigitalPaymentSupervisory

ControlandDataAcquisition

CustomerspecificContent

• ISO27001• ISO80001-1• ISO20000

• COSO• COBIT• SOX

• ISO27019• EN50600• BDEW

• BSI100-2• BSI100-4

• PCI-DSS• ISAE3402• EuroCloud

• CustomerDirectives

ProjectRiskManagement

GenericqualitativeRiskMgmt.

PolicyManagement

AuditManagement

Legal&ComplianceManagement

Vendor&Supplier

Management

PRM QRM Policy Audit TASK CM VSM

ISMS LEGAL PRIVACY MEDICAL PCI SCADA CUSTOM

InformationRisk

Management

IRM

Cause&effectbased,semiquantitativeriskassessmentandaggregation

Cause&EffectAnalysisMethod

Businesslogicbased,quantitativeriskassessmentundmultiscenarioanalysis

ScenarioAnalysisMethod

EnterpriseRisk

Management

ERM

InformationSecurity

Management

LegalCompliance

DataPrivacy HealthCare DigitalPayment

SupervisoryControlandData

Acquisition

CustomerspecificContent

• ISO9001• ISO20000• ISO27001• ISO80001-1

• COSO• COBIT• SOX

• ISO27019• EN50600• BDEW

• BSI100-2• BSI100-4

• ONA7700• PCI-DSS• ISAE3402• EuroCloud

• CustomerDirectives

TaskMgmt.InternalControlSystem

Task IKS

ISMS Legal Privacy Medical PCI SCADA Custom

Ursache-Wirkungs-basierende,semiquantitativeRisikobewertung undRisikoaggregation

Cause&EffectAnalysisMethod

Business-Logic-basierende,quantitativeRisikobewertung undMulti-Szenarioanalyse

ScenarioAnalysisMethod

CRISAM® RMISEnterpriseServer

WorkflowEngine

UserRightManagement

Reports&Dashboard

ProcessModell

WebAccess

CRISAM®Explorer


ComplianceAnalyse

IT-SystemewerdendurchspezielleNormenundStandardsbeschriebenunddaraufhinzertifiziert.DieCompliancezugeltendenStandardsundBestPracticeswirdmitCRISAM®automatisierterhoben.

ISO27001:2005

BSIGrundschutz

ISO80001-1


ISO80001-1ComplianceBericht


ISO80001-1ManagementBericht


ISO80001-1BIABericht


ISO80001-1Risikobericht


ISO80001-1Gap-AnalyseBericht


Management-DashboardundKennzahlen

KennzahlenhelfenraschwichtigeZusammenhängezuerkennenundEntscheidungenabzuleiten.CRISAM®hilftdenRisikomanagementProzessanhandKennzahlenzuführenundzusteuern.


− KompatibelzuDIN/EN80001-1-2

− EntsprichtdemempfohlenenVorgehenderDeutschenKrankenhausGesellschaft

− UnterstütztdenMed.IT-RisikomanagerbeiderFormulierungderPrüfundKontrollziele

− StelltautomatisiertdieCompliancezurDIN/EN80001-1,ISO27001,ISO20000 fest

− ErfülltdieRisikomessungausderISO14971

− Contentwirdmitgeliefertundzyklischaktualisiert

WarummitCRISAM®?

DerRisikomanagement-ProzessentsprechendderISO/IEC80001-1erforderteinenachvollziehbareundbelastbareQuantifizierungvonRisiken!


CRISAM® TAB-Process

CRISAM®TestandBelieve (TAB)Process

EvaluierenderCRISAM®MethodikanhandeinerunternehmensspezifischenAufgabenstellung.

TAB

Commitm

ent

FestlegenderRahmenbedingungenfürdasTAB-Projekt

KommittmentzurZeitachse,RessourcenundZielsetzungdesTAB-Projektes

1

2

OPENTAB

TAB

CLOSE

CRISAM®SetupandTraining

Ca.3Tage

AnalysenimKontextdesTAB-Scopes

CRISAM®TrialandFeaturetest

ca.7Tage

Aufberei-tenvonReportsundFindings

ca.3Tage

TAB

KickOff

1Tag

Final

Presentatio

n

1Tag

Youknowwhatyoudecide!

IhrNutzen− SielernenCRISAM®inderUmsetzungIhrereigenenAnforderungenkennen− SieerhaltenfürSienutzbareErgebnisse− SiekönnenschwergreifbareFaktenfürIhrManagementbewertbaraufbereiten− Siesindinnerhalb15Tage “ReadyforDecicion”


calpanabusiness consultinggmbhA-4020Linz,Blumauerstraße 43Tel:+43(732)601216-0

Copyright©2015 www.crisam.netwww.calpana.com

Key Findings

1. Med.ITRisikomanagementistnichtneusondernbereitsjetzteinegesetzlicheVorgabe!

2. Med.ITRisikomanagementistimKerneineorganisatorischeAufgabenstellung!

3. BetreiberundDienstleistersindinderPflichtaucheinMed.ITRisikomanagementzubetreiben!

4. DerStanddermed.WissenschaftundTechnikistinderNormDIN/EN80001-1festgeschrieben!

Vielen Dank für Ihre Aufmerksamkeit!

Sicher auf Kurs. - ZTP: · Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen...

Documents

Transcript of Sicher auf Kurs. - ZTP: · Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen...