Risk Manager
  • Lösung
    • Der Zulassungsbeschleuniger
      • Risikomanagement nach ISO 14971
      • Usability Engineering gemäß EN 62366
      • Grundlegende Anforderungen nach MDR 2017/745 & IVDR 2017/746
      • Konformitätsbericht MEE gemäß EN 60601-1
      • Medizinische IT-Netzwerke – IEC80001-1
      • Softwarevalidierung nach DIN EN ISO 13485
      • Klinische Bewertung nach MDR 2017/745 & MEDDEV 2.7.1
      • Software Lebenszyklus Prozess – IEC 62304
    • Referenzen
      • Was unsere Kunden sagen – Success Stories
      • MST-Instrumente: Arbeits- und Zeiteinsparungen
      • Klinikum rechts der Isar: Fehlerfreie Dokumentation und Erreichung der IEC 80001-1 Schutzziele
      • Euroimmun: Aufwandseinsparung im Usability Engineering
      • biotrics bioimplants AG: Bereicherung des Zulassungsprozesses durch BAYOOSOFT Risk Manager
        • Auszug unserer Kundenliste
      • Kontinuierliche Entwicklung seit 1998 – Versionshistorie
  • Module & Funktionen
    • Module
      • Risikomanagement
      • Usability Engineering
      • Grundlegende Anforderungen
      • Medizinisch Elektrische Geräte
      • Maschinenrichtlinie
      • Requirements Engineering
      • Klinische Bewertung
      • Software Lebenszyklus Prozess
      • Medizinische IT Netzwerke
      • REST API
      • Advanced Reporting
      • Pre-Validation Package
    • Funktionen
      • Preliminary Hazard Analysis
      • Failure Mode and Effect Analysis
      • Strukturiertes Arbeiten nach Lebenszyklusphasen
      • Klassifikation der Medizinprodukte
      • Post Market Surveillance
      • Selbstlernende Wissensdatenbank
      • Feingranulares Berechtigungsmanagement
      • Visualisieren mit der Grey Box
  • Services
    • Services
      • Individuelle Dienstleistungen
      • Softwarevalidierung
      • Lizenzmodell
      • Systemvoraussetzungen
      • Häufig gestellte Fragen
    • Kontakt
      • Anstehende Veranstaltungen
      • Jetzt Testen
      • Kontaktanfrage
  • Unternehmen
    • Unternehmen
      • Wir sind die Mitdenker
      • Unternehmensprofil
    • Unsere Partner
      • Lernen Sie unsere Partner kennen
      • Jetzt Partner werden
  • Blog
  • Veranstaltungen
  • Jetzt Testen
  • Kundenportal
  • Suche
  • Menü

Risikomanagement vom IT-Netzwerk mit dem BAYOOSOFT Risk Manager

KRITIS-Krux im Krankenhaus

Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen zählen zu den sogenannten kritischen Infrastrukturen (BSI-KritisV Anhang 5 Tabelle „Anlagenkategorien und Schwellenwerte“). Sie sind damit verpflichtet eine Kontaktstelle einzurichten und müssen IT-Sicherheitsvorkommnisse melden (§ 8b (3) BISG). Zur Einhaltung des geforderten Sicherheitsniveaus und um notwendige Prozesse und Strukturen zu etablieren, müssen frühzeitig organisatorische und technische Maßnahmen ergriffen werden. Eine Übergansfrist für diese Krankenhäuser ist ausdrücklich nicht vorgesehen.

Was bedeutet KRITIS?

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Laut Gesetz zählen die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Medien und Kultur, Staat und Verwaltung sowie Finanz- und Versicherungswesen zu den kritischen Infrastrukturen.

Gesetzliche Vorgaben für Betreiber kritischer Infrastrukturen finden sich im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wieder. Das Gesetz hat die Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland zum Ziel. Die Sektoren Staat und Verwaltung sowie Medien und Kultur fallen nicht unter die gesetzlichen Verpflichtungen.

[Quelle]

Wird ein Krankenhaus zwei Jahre in Folge als kritische Infrastruktur eingestuft, ist der Betreiber verpflichtet einen Nachweis der getroffenen technischen und organisatorischen Maßnahmen zur Störungsvermeidung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten oder Prozessen zu führen. Dabei kommen neben Audits auch Zertifizierungen oder ähnliche Nachweise in Frage.

Es gilt dabei zwischen Maßnahmen zu unterscheiden, die

  • zur Erhöhung der Ausfallsicherheit der kritischen IT-Komponenten

und / oder

  • als Teil von Ersatzmaßnahmen zur Aufrechterhaltung der kritischen Prozesse im Falle eines Ausfalls der IT-Infrastruktur

beitragen.

Wenn es kritisch wird

Bei der Auswahl solcher Maßnahmen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik in seinem Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ explizit das Heranziehen existierender Standards und „Best Practice“-Empfehlungen.

Dazu gehören internationale Normen wie auch der technische Standard IEC 80001-1 zur Integration von Medizinprodukten in IT-Netzwerke.

In der Norm IEC 80001-1 wird der Stand der Technik mit Bezug zum Risikomanagement von IT-Netzwerken beschrieben und es werden 3 Schutzziele definiert:

  • Sicherheit für Patienten und Mitarbeiter (safety)

  • Daten- und Systemsicherheit (security)

  • Effektivität (geordnete und unterbrechungsfreie Prozessabläufe; effectiveness)

Das Softwaremodul „Risikomanagement nach IEC 80001-1“ des BAYOOSOFT Risk Manager erlaubt Betreibern von kritischen Infrastrukturen genau diese regulativen Anforderungen zu erfüllen und ein Risikomanagement unter Berücksichtigung der Schutzziele über den gesamten Lebenszyklus Ihrer IT-Netzwerke betreiben.

Exkurs: ISO 27002

Ein ebenfalls existierender Standard, der vom BSI empfohlen wird, ist die ISO 27002 als Leitfaden für das Informationssicherheits-Management. Im Leitfaden festgehalten sind Prinzipien und Orientierungshilfen für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation.

Dem Thema der Zugangskontrolle wird dabei ein eigenes Kapitel gewidmet. Zugangskontrolle bedeutet Maßnahmen zu ergreifen, die es Benutzern ermöglichen, kontrolliert Zutritt zu (physisch) und / oder Zugriff auf (logisch) zu erhalten. Es sollen Regelwerke etabliert werden nach denen Benutzer nur den Zugriff erhalten, den Sie für Ihre tägliche Arbeit wirklich benötigen (Need-to-know-Prinzip). Ebenfalls ist die Vergabe von Passwörtern durch einen formalen Verwaltungsprozess zu kontrollieren.

Der BAYOOSOFT ACCESS MANAGER kann Sie bei der Umsetzung dieser Anforderungen unterstützen. Die automatisierte Softwarelösung für transparentes und leicht verständliches Berechtigungs- und Identity Management verbessert die Informationssicherheit während gleichzeitig der operative Aufwand in der IT-Abteilung durch Self Service signifikant verringert wird.

Die prozessorientierte Lösung trägt dazu bei, dass Sie sich aus dem Dokumentendschungel befreien und die Dokumentationsarbeit soweit wie möglich von der Software erledigen lassen. An zentraler Stelle hinterlegen Sie alle abzubildenden Anforderungen, wie diejenigen an die Hersteller der Medizinprodukte sowie Netzwerkkomponenten, nehmen Änderungen vor und überwachen den Prozess.

Das zur Einhaltung der ISO 14971 bewährte Prinzip der Risikoanalyse und des Maßnahmenmanagements wird übertragen, um mögliche Gefährdungen, hervorgerufen von der Vernetzung von IT-Netzwerken und Medizinprodukten, zu reduzieren. Die strukturierte und praxiserprobte Oberfläche des BAYOOSOFT Risk Manager unterstützt Sie dabei mit der frühzeitigen Erkennung von Risiken. Dabei werden Informationen durch das selbstlernende System feingranular dynamisch miteinander verbunden und eine redundante Datenhaltung vermieden.

Strukturiertes Risikomanagement

Die Norm beschreibt darüber hinaus die Rolle eines IT-Risikomanagers, der die Informationen sammelt und in Form einer Risikomanagement-Akte dokumentiert sowie an die oberste Leitung als Verantwortliche berichtet.

Gerade hier müssen Fachkräfte aus IT, Risikomanagement und Medizintechnik zusammenarbeiten und die jeweiligen Kompetenzen bündeln. Das Risikomanagement für die kritischen Netzwerkstrukturen wird besonders auf die Aspekte Netzwerkzuverlässigkeit, Datenintegrität sowie eine strenge Bewertung der Risiken ausgerichtet. Für die zuständigen Risikoverantwortlichen ist dieser Aspekt oft Neuland und es besteht die Gefahr den Überblick zwischen Informationen und Ansprechpartnern zu verlieren.

“Durch den BAYOOSOFT Risk Manager konnten wir den zeitraubenden manuellen Arbeitsaufwand umgehen. Die Software führt uns fehlerfrei durch den Prozess, man kann nicht abweichen, nichts vergessen und kommt zu einem einwandfreien Resultat.”

Knut Lauter

Klinikum recht der Isar der Technischen Universität München

zur Success Story

Die bewährte Struktur im BAYOOSOFT Risk Manager vereinfacht und professionalisiert diese Arbeit ohne Kompromisse für die Sicherheit und einwandfreie Dokumentation der IT-Netzwerke eingehen zu müssen. Für die Erfassung der einzelnen IT-Komponenten und Hersteller sowie die Festlegung von Änderungserlaubnissen und Überwachungstätigkeiten gibt die Softwarelösung eine feste Ordnung vor. Alle Anforderungen an Ihre medizinischen IT-Netzwerke, sowie an die Kommunikation und Überwachung werden systematisch erfasst und dauerhaft nachvollziehbar miteinander verbunden. Ein besonderes Augenmerk wird auf die Sicherstellung der drei Schutzziele Sicherheit, Effektivität sowie Daten- und Systemsicherheit gelegt.

Zusammenfassung

Für das Einrichten einer Kontaktstelle, den Aufbau eines Meldesystems für IT-Sicherheitsvorfälle, die Einhaltung eines angemessenen Sicherheitsniveaus sowie der Erbringung der notwendigen Nachweise entstehen Kliniken als Betreibern kritischer Infrastrukturen hohe personelle und organisatorische Aufwände.

 An dieser Stelle unterstützt Sie der BAYOOSOFT Risk Manager als Prozessbeschleuniger auf effiziente und akkurate Weise den Anforderungen der IEC 80001-1 gerecht zu werden – selbstverständlich unter Berücksichtigung der Schutzziele Sicherheit für Patienten und Mitarbeiter, Daten- und Systemsicherheit sowie Effektivität.

Statt Zeit in die Form zu investieren, konzentrieren Sie sich ganz auf den Inhalt.

Erfahren Sie mehr über den Einsatz des BAYOOSOFT Risk Manager in Kritischen Infrastrukturen!

Melden Sie jetzt sich zu einem unserer offenen Webinare oder einer individuellen Produktvorstellung an.

Anstehende Online-Produktpräsentationen

  • Prozesse digitalisieren mit BAYOOSOFT Management Lösung (de) – 22.03.2023
    • Prozesse digitalisieren mit BAYOOSOFT Management Lösung (de) – 26.04.2023
        Um das Formular absenden zu können, müssen Sie Marketing-Cookies akzeptieren.
        Klicken Sie hier um Marketing-Cookies zu erlauben.
        Wird geladen
        • Datenschutzerklärung

        Aktuelles

        • IEC 80001-1 Risikomanagement und KRITIS RisikoSind Sie sicher, dass Ihre KRITIS sicher ist?10. März 2023 - 12:53
        • BAYOOSOFT @ MEDICA 202231. Oktober 2022 - 18:24
        • Medizintechnik Klinische BewertungKlinische Bewertung: Lückenlos zur Dokumentation5. Oktober 2022 - 10:22
        Ihre Ansprechpartnerinnen bei BAYOOSOFT

        Svenja Winkler
        CEO
        [email protected]

         

         

        Franziska Weiß
        Head of Sales [email protected]

        Darmstadt
        Lise-Meitner-Straße 10
        64293 Darmstadt

        München
        Aidenbachstraße 54
        81379 München

        Berlin 
        Mariendorfer Damm 1-3
        12099 Berlin

        Telefon: +49 (0) 6151 – 86 18 – 0
        Fax: +49 (0) 6151 – 86 18 – 150

        Kontakt: [email protected]
        Support: [email protected]
        Jobs: [email protected]
        Presse: [email protected]

        • Datenschutzerklärung
        • Impressum
        Partnerschaft mit HEX Approach BAYOOSOFT Risk Manager @ MEDICA 2020
        Nach oben scrollen