Медицинская промышленность переживает один из самых больших переворотов в своей истории, и не только из-за Covid-19. Цифровизация позволяет создавать новые формы профилактики заболеваний, раннего выявления заболеваний, а также цифрового лечения и цифрового последующего ухода. Это происходит благодаря инновациям в клиниках, у врачей, а также с помощью новых цифровых приложений непосредственно для пациента — цифровых приложений для здоровья (DiGa), цифровых приложений для ухода (DiPa) или дальнейших приложений через индивидуальные селективные контракты с компаниями медицинского страхования.
Поставщики, будь то небольшие начинающие компании или крупные корпорации, сталкиваются с одной и той же проблемой сертификации своей продукции: Внедрение MDR (Medical Device Regulation) ЕС к 2026 году, если сертификация уже получена в соответствии с MDD (Medical Device Directive). В противном случае сертификация должна проводиться непосредственно в соответствии с MDR. MDR требует, чтобы поставщики услуг имели полную систему управления качеством и рисками в соответствии с ISO 13485 и ISO 14971, и не делает различий в зависимости от размера или финансовой устойчивости компаний. Это приводит к дублированию работы и неэффективности при традиционных подходах к управлению качеством и рисками без сетевых и интегрированных систем — особенно сложные ландшафты процессов, которые создаются вручную, например, в текстовых редакторах, трудно контролировать и оценивать. Согласование систем внутреннего контроля (СВК), управления рисками с соответствующими процессами и продуктами, оценка критических активов для внедрения СУИБ ставит перед организацией серьезные задачи.
Мы разработали пакет нормативных документов для цифрового здравоохранения на основе нашего опыта в области критической инфраструктуры. Digital Health Regulatory Suite может использоваться как в стартапах, так и в корпорациях, и включает в себя основные дисциплины, необходимые для компаний, работающих в сфере медицинских технологий: Управление качеством и процессами, управление рисками, управление информационной безопасностью (ISMS), управление активами и управление контролем. Решения могут быть интегрированы с другими продуктами TopEase® на платформе TopEase® и выполнены по индивидуальному заказу. Например, внедрение процессов управления рисками в соответствии с ISO 14971 может быть осуществлено с использованием существующих корпоративных структур и текущих рабочих процессов выпуска и существующей классификации и таксономии рисков. Платформа интеллектуально объединяет информацию и представляет ее в реальном времени на информационных панелях. Благодаря информационному руководству и 100-процентной отслеживаемости рабочих процессов проблема руководства документами уходит в прошлое.
Управление информационной безопасностью (ISMS) не обязательно должно быть сложным! С помощью нашего условного решения SoA (Statement of Applicability) мы разработали высокоэффективный и автоматизированный инструмент, который назначает все соответствующие элементы управления ISO 27001 Annex A для соответствующих активов на основе их характеристик. Таким образом, вы можете легко определить, какие элементы управления необходимо применить, и проверить их применение в автоматизированных оценках. Наш инструмент SoA не только поможет вам определить необходимые средства контроля, но и предложит конкретные меры, которые вы сможете внедрить. Выполнение мероприятий легко отслеживается по автоматически созданной диаграмме Ганта, а сами мероприятия могут быть назначены ответственными лицами. Кроме того, в TopEase® можно регистрировать все риски, связанные с информационной безопасностью, а также связывать их с активами и мерами.
Приборная панель предоставляет вам текущий статус ISMS в режиме реального времени и больше не обременяет вашу организацию ручными отчетами. Кроме того, вы значительно экономите на стоимости консультаций по ISO 27001. Усилия по внедрению и затраты на внедрение значительно ниже, чем при использовании ручных решений — благодаря прослеживаемости, которую мы используем по аналогии с нашими решениями в базовой защите KRITIS и BSI, все процессы прозрачно хранятся в системе и могут быть вызваны в контексте аудита.
Установите свойства актива, используя предопределенные категории. Категории могут быть предопределены нами, или вы можете создать свой собственный каталог категорий/контролей. Каталог можно динамически расширять или изменять, чтобы добавлять новые версии ISO 27001 или базовой защиты ИТ.
На основании свойств актива ему присваиваются все необходимые элементы управления. Ручные усилия по оценке анкеты ISO 27001 на основе активов, а также ручной перенос в таблицы Excel полностью исключены.
Каждый элемент управления ISO 27001 Annex A проверяется на выполнение — с разделением на документацию, эффективность управления и статус выполнения. Кроме того, можно настроить дополнительные категории, такие как Эффективность дизайна, или добавить дополнительные вопросы. Каждый вопрос может быть подкреплен доказательствами или дальнейшими действиями.
Выявленные риски могут быть оценены и обеспечены мерами по их минимизации. В дополнение к текущему рейтингу риска может быть определена цель риска, которая должна быть достигнута с помощью мер.
После обработки мер, оставшийся риск (остаточный риск) может быть повторно оценен и снова выпущен. Все процессы на 100% поддерживаются рабочим процессом и прозрачно документируются.
Быстрый обзор и подробная отчетность о существующих рисках. Автоматическое определение приоритетов и тенденций в отношении рисков. Свободное определение матрицы рисков (например, 4×4, 5×5) и описание вероятности риска и серьезности риска.
Графическое представление каждого риска с точки зрения вероятности и серьезности. Освобождение от риска с помощью рабочего процесса. Полная отслеживаемость оценки и анализа рисков с помощью функции историзации.
Полное планирование всех мер по минимизации рисков. Меры назначаются на соответствующие риски, а эффективность мер может быть оценена с помощью обновленной оценки рисков.
Возможность индивидуального отображения прогресса и настройки. Живая приборная панель для быстрого обзора реализации мероприятий.
Быстрый обзор с помощью автоматизированных отчетов. Быстрый обзор с помощью автоматизированных отчетов. Отчеты также могут быть созданы, например, в рамках рабочих процессов утверждения.
Полностью увязать риски с мерами, процессами, активами и средствами контроля. Кроме того, возможно назначение, например, угроз и событий.
Простая регистрация процессов, связь с механизмами контроля, активами и рисками.
Простая регистрация процессов, связь с механизмами контроля, активами и рисками.
Выпуск процессов и рабочих инструкций / стандартных операционных процедур на основе рабочего процесса
Контроль информации вместо контроля документов для отслеживания всех изменений и статусов релизов
Экспорт всей информации, например, стандартных описаний процессов в формате PDF
Представление карт процессов и домов процессов. Возможна полная графическая навигация с помощью графиков процесса.
Отображение структуры поставщиков по странам, чтобы иметь возможность быстро оптимизировать цепочку поставок, например, в случае ограничений на экспорт.
Агрегированное отображение текущего состояния процесса (количество процессов в релизе, выпущенных процессов, процессов в пересмотре и т.д.).
Существующие шаблоны по управлению рисками и, например, процессы capa.
Шаблоны отчетов, например, для рабочих инструкций или отчетов SIPOC.
Возможна цифровизация управления в соответствии с нормативными требованиями.
Управление защитой данных является ключевым элементом в области цифровых решений для здравоохранения. Поставщик услуг должен обеспечить обработку данных пациента с учетом требований защиты данных (см. ст. 25 GDPR). Кроме того, сбор персональных данных должен осуществляться в соответствии с принципом экономии данных, и должны быть приняты соответствующие технические и организационные меры для обеспечения безопасности обработки и экономии данных. Для все большего числа случаев использования, например, в телемедицине с KBV Annex 31b, регулятор предусматривает проведение аудита защиты данных или сертификацию защиты данных.
Digital Health Regulatory Suite поддерживает процесс защиты данных комплексно, например, путем регистрации и обработки рисков, полученных в результате оценок воздействия на защиту данных (DIA) и мер. Все меры четко назначаются ответственным лицам, описываются и оцениваются в соответствии со спецификациями, а затем их реализация контролируется с помощью рабочего процесса утверждения.
Все риски защиты данных можно просмотреть с первого взгляда через реестр рисков, а автоматическая фильтрация и ранжирование помогают пользователю определить наиболее важные и критические риски защиты данных.
Выполнение статьи 24 п. 1 GDPR требует оценки серьезности рисков для прав свободы, а также оценки вероятности наступления рисков.
С помощью Digital Health Regulatory Suite проводится систематическая оценка рисков защиты данных в соответствии с немецким законом о защите данных. Статья 32 п. 2 GDPR. Это касается, в частности, рисков, связанных с защитой данных при обработке. Контроль документооборота должен обеспечить соблюдение положений статьи 31 п. 1 GDPR обеспечивает регулярный обзор, анализ и оценку рисков защиты данных, а также технических и организационных мер по защите данных.
В связи с изменениями в законодательстве, такими как Закон о будущем больниц (KHZG) и Закон о защите данных пациентов (PDSG), требования к ИТ-безопасности и защите данных пациентов для больниц меняются. В дополнение к внедрению решения ISMS, это часто требует внедрения системы управления процессами и качеством для документирования соответствующих основных процессов. Кроме того, мы рекомендуем внедрить систему внутреннего контроля (СВК) для цифрового документирования и внедрения нормативных требований и оперативно необходимых мер контроля в рамках процессов.
Внедрение цифровых медицинских приложений (DiGa) и цифровых приложений по уходу (DiPa) впервые позволило включить приложения в стандартное обслуживание больничных касс. Для этого законодатель требует внедрения менеджмента качества, рисков и информационной безопасности при сертификации медицинских изделий. Мы предлагаем индивидуальные решения, особенно для начинающих компаний, которые поддерживают необходимую нормативную документацию программным способом и растут вместе с компанией. Наш подход к документации с программной поддержкой позволяет избежать дублирования работы и высоких последующих расходов при дальнейшей сертификации благодаря интеллектуальному объединению всей необходимой информации. В зависимости от стадии стартапа, решение может быть адаптировано к потребностям и расти вместе с компанией.
Производители сертифицированных медицинских изделий уже имеют сертифицированные процессы и процедуры. Здесь проблема часто заключается в избыточных системах и информации, иногда распределенных в нескольких точках по всему миру. Существуют также обширные цепочки поставок, внутренние и внешние системы управления, а также разнообразные продукты и компоненты продуктов. С помощью платформы TopEase® мы предлагаем индивидуальные решения, которые могут быть интегрированы в существующий ландшафт приложений через интерфейсы, чтобы как можно быстрее создать эффективность, например, в области управления процессами и цепочками поставок, с помощью единой базы данных. Возможность работы с несколькими клиентами обеспечивает возможность использования решений по всему миру.
Провайдеры телемедицины обязаны осуществлять защиту данных и информационную безопасность в соответствии с Приложением 31b KBV. Для получения аккредитации и сдачи экзамена сертифицированными институтами тестирования обязательно внедрение технических и организационных мер в области защиты данных, а также в области информационной безопасности. С помощью Digital Health Regulatory Suite можно регистрировать и реализовывать меры, вытекающие, например, из оценки воздействия на защиту данных (DPA). Кроме того, Digital Health Regulatory Suite поддерживает управление всеми рисками защиты данных и рисками информационной безопасности. Верификационные документы могут быть легко созданы в формате PDF и представлены в сертификационные учреждения.
Erstes kennenlernen und Gewinnung Verständnis der Problemstellung. Kurzvorstellung der TopEase®-Plattform.
Analyse der Ist-Situation anhand der individuellen Finanzierungs- und Produktsituation. Leaner Ansatz, Fragestellungen z.B. bzgl. Produktroadmap (Planung DiGa / DiPa) und größter Handlungsbedarfe im regulatorischen Umfeld (Quick-Check Compliance), Ausarbeitung der Handlungsbedarfe, Einbeziehung von Best-Practices.
Erstellung kundenorientierter Lösungsvorschlag: Einführung von einzelnen Solutions der Digital Health Regulatory Suite anhand der Kundenbedürfnisse, Integration in die bestehende Landschaft, Betrachtung von Kosten/Nutzen. Erstellung einer Umsetzungstimeline anhand der regulatorischen Erfordernisse.
Auslieferung vorkonfigurierter Solutions z.B. für das Qualitätsmanagement. Weitere Unterstützungen der Implementierung, z.B. bei der Aufnahme und Dokumentation von Prozessen sowie der relevanten Kontrollen. Weitere Integration in die Systemlandschaft, z.B. durch Anschluss einer bestehenden CMDB Lösung.
Wir unterstützen unsere Kunden nicht nur durch weiteres Customizing und Konfiguration der Softwarelösungen, sondern auch operativ im Bereich der für die Zertifizierung notwendigen Tätigkeiten. Der Kundenvorteil besteht in unserem Expertenwissen im Bereich leaner Prozessgestaltung, End-to-End Prozessketten und Wertschöpfungsflüsse, Supplier-Management oder Informationssicherheit in der kritischen Infrastruktur.
Эффективность вместо Excel — автоматизация в информационной безопасности Автоматизированный и интегрированные системы управления — залог безопасности, отвечающей современным вызовам В области кибербезопасности, в информационной безопасности / IT-безопасности, а также в базовой IT-защите зачастую используется Excel, поскольку данный инструмент, как правило, удобен для использования и, как правило, отвечает требованиям нормативных документов, в т.ч. ISO 27001 Приложение A. Но насколько эффективен Excel
