1
Доступно поисковых запросов: 1 из 2
Следующий пробный период начнётся: 10 октября 2022 в 10:28
Снять ограничение

ГОСТ Р 56841-2015

Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций
Действующий стандарт
Проверено:  02.10.2022

Информация

Название Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций
Дата актуализации текста 01.01.2021
Дата актуализации описания 01.01.2021
Дата издания 19.11.2018
Дата введения в действие 01.11.2016
Область и условия применения Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1
Опубликован Официальное издание. М.: Стандартинформ, 2018 год
Утверждён в Росстандарт

Расположение в каталоге ГОСТ


ГОСТ Р 56841-2015/
IEC/TR 80001-2-4:2012

Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИ ПРИБОРАМИ

Часть 2-4

Руководство по применению. Общее руководство для медицинских организаций

Health informatics. Risk management for IT-networks incorporating medical devices. Part 2-4. Application guidance. General guidance for healthcare delivery organizations



ОКС 35.240.80*

ОКСТУ 4002

_________________

* В ИУС N 9-2016 ГОСТ Р 56841-2015 приводится с

ОКС 35.240.80, 11.040.01, здесь и далее по тексту. -

Примечание изготовителя базы данных.

Дата введения 2016-11-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 28 декабря 2015 г. N 2229-ст

4 Настоящий стандарт идентичен международному документу IEC/TR 80001-2-4:2012* "Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций" (IEC/TR 80001-2-4:2012 "Application of risk management for IT-networks incorporating medical devices - Part 2-4: Application guidance - General implementation guidance for healthcare delivery organizations", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок-в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Настоящий стандарт является руководством, предназначенным помочь МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ (см. 1.2) выполнить свои обязательства ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ по применению стандарта МЭК 80001-1 совместно с другими стандартами в данной серии. В частности, настоящий стандарт позволяет МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ оценить его влияние на организацию и установить последовательности деловых процессов в виде обычных ПРОЦЕССОВ для управления РИСКОМ на стадиях создания, сопровождения и поддержания в рабочем состоянии МЕДИЦИНСКИХ ИТ СЕТЕЙ. И хотя настоящий стандарт нацелен исключительно на МЕДИЦИНСКИЕ ОРГАНИЗАЦИИ, понятие ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ используется в настоящем стандарте для обеспечения целостности терминологии МЭК 80001-1. В этом смысле эти два понятия являются синонимами.

Настоящий стандарт будет полезен лицам, ответственным за установление в рамках ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, планирующей создание одной или нескольких МЕДИЦИНСКИХ ИТ сетей общего подхода к МЕНЕДЖМЕНТУ РИСКА, соответствующему МЭК 80001-1. В особенности общий подход к МЕНЕДЖМЕНТУ РИСКА должен обеспечивать ОСНОВНЫЕ СВОЙСТВА - БЕЗОПАСНОСТЬ, ЗАЩИЩЕННОСТЬ ДАННЫХ И СИСТЕМЫ и ЭФФЕКТИВНОСТЬ, как они определены в МЭК 80001-1. Целью общего подхода является предотвращение возможных проблем, идентифицированных в МЭК 80001-1, которые связаны с подключением МЕДИЦИНСКИХ ПРИБОРОВ к ИТ сетям.

Установление и реализация общего подхода к МЕНЕДЖМЕНТУ РИСКА и изменения в деловых процессах, которые он может за собой повлечь, потребует от ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ использования всего набора навыков, которыми располагает организация, связанных как с управлением, так с технической и клинической деятельностью. В случаях, когда подобными навыками в ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ никто не обладает, следует рассмотреть вариант сотрудничества с аналогичными организациями или с экспертами в данной области. Важно, чтобы ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ могла опираться на экспертные знания, относящиеся к подходящим стандартам и соответствующим им техническим отчетам.

При формировании инфраструктуры МЕНЕДЖМЕНТА РИСКА ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ должна учитывать:

- размер и возможности организации;

- масштаб ИТ операций организации и сложность текущей инфраструктуры и систем организации; а также

- стоимость реализации МЭК 80001-1.

Предполагается, что некоторые из вышеперечисленных факторов, например размер ИТ операции и сложность сетей будут пропорциональны размеру организации. Важно, чтобы сам общий подход не создавал РИСКА для пациентов, предъявляя излишние требования к медицинскому персоналу, в то же время эта рабочая нагрузка не должна привнести новые устранимые РИСКИ при реализации новой технологии.

При рассмотрении ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ основных решений и шагов, требующихся для успешного формирования структуры МЕНЕДЖМЕНТА РИСКА для МЕДИЦИНСКИХ ИТ сетей, необходимо учитывать, что данный документ ссылается как на малые, так и на большие организации. Данные понятия являются субъективными, и никаких точных мер измерения размеров организаций не дается, тем не менее:

- маленькой организацией может являться медицинский центр:

- с небольшим числом практикующих врачей, или

- с большим числом практикующих врачей, с консолидированной ИТ функцией и с высоко централизованной структурой управления;

- большой организацией может быть:

- объединение, состоящее из множества больниц, или

- организация с распределенными клиниками и комбинацией внутреннего и стороннего руководства клинической и ИТ деятельностью.

Небольшие организации могут также подчиняться более крупной соответствующей организации.

Общий подход к МЕНЕДЖМЕНТУ РИСКА, разработанный ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ, если следовать указаниям настоящего стандарта, должен сочетаться с формализованными системами менеджмента, которые повсеместно используются в обычных деловых процессах. Подобный деловой процесс в виде обычных ПРОЦЕССОВ, необходимых для обеспечения выполнения МЕНЕДЖМЕНТА РИСКА, является частью постоянного требования при изменении систем или развертывании новых систем, посредством:

- включения ПРОЦЕССОВ МЕНЕДЖМЕНТА РИСКА в существующие ПРОЦЕССЫ менеджмента, например в систему менеджмента качества организации;

- обеспечения включения ПРОЦЕССОВ МЕНЕДЖМЕНТА РИСКА в график внутреннего аудита;

- предоставления обучения МЕНЕДЖМЕНТУ РИСКА, как части введения в курс обязанностей нового персонала, и предоставления подобного обучения уже задействованному персоналу; а также

- обеспечения выполнения МЕНЕДЖМЕНТА РИСКА как для новой работы, так и для изменений в существующих МЕДИЦИНСКИХ СЕТЯХ.

Утвердив структуру МЕНЕДЖМЕНТА РИСКА, ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ становится готовой к выполнению подробной ОЦЕНКИ РИСКА (см. IEC/TR 80001-2-1 [1]).

     1 Область применения

     1.1 Цель


Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем, как организация предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1.

     1.2 Медицинская организация


Данный технический отчет направлен на все МЕДИЦИНСКИЕ ОРГАНИЗАЦИИ. МЕДИЦИНСКИЕ ОРГАНИЗАЦИИ включают больницы, офисы врачей, дома коммунальной медико-социальной помощи и клиники.

В обеспечении МЕДИЦИНСКОЙ ИТ СЕТИ, содержащей МЕДИЦИНСКИЙ ПРИБОР, в рамках МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ может участвовать несколько ОТВЕТСТВЕННЫХ ОРГАНИЗАЦИЙ. В настоящем стандарте основное внимание уделяется МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ и ее обязательствам согласно МЭК 80001-1.

Для МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ важно идентифицировать ОТВЕТСТВЕННУЮ(ЫЕ) ОРГАНИЗАЦИЮ(ИИ), несущую(ие) ответственность за любые аспекты сети, которые регулируются МЭК 80001-1. Это позволяет четко распределить роли и ответственности настоящего стандарта.

     1.3 Сфера применения


В настоящем стандарте подробно рассмотрены шаги, которые необходимо выполнить ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ для реализации требований пунктов 3.1-3.3 и 4.1-4.6 МЭК 80001-1:2010.

Примечание - Предполагается, что ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ будет использовать IEC/TR 80001-2-1 [1] для получения подробных советов по выполнению требований подраздела 4.4 МЭК 80001-1:2010.

     1.4 Необходимые предварительные условия


МЭК 80001-1:2010 является необходимым предварительным условием для настоящего стандарта. Руководящие указания, представленные в настоящем стандарте, предназначены помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ установить общий подход к МЕНЕДЖМЕНТУ РИСКА для удовлетворения базовых требований МЭК 80001-1, обеспечивая:

- наличие политики и ПРОЦЕССОВ МЕНЕДЖМЕНТА РИСКА;

- установление масштабов вероятности, тяжести и допустимости РИСКА;

- строгое определение МЕДИЦИНСКИХ ИТ сетей.

     2 Нормативные ссылки


В настоящем стандарте используются нормативные ссылки на следующие документы или их части, обязательные для применения данного документа*. В случае датированных ссылок действует только цитируемое издание. Для недатированных ссылок действует самое позднее издание документа, на который производится ссылка (включая любые внесенные в него поправки).

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.


IEC 80001-1:2010, Application of risk management for IT-networks incorporating medical devices - Part 1. Roles, responsibilities and activities (Применение менеджмента риска для ИТ сетей с медицинскими приборами. Часть 1. Роли, ответственности и действия)

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 СОПРОВОДИТЕЛЬНЫЙ ДОКУМЕНТ (ACCOMPANYING DOCUMENT): Документ, сопровождающий МЕДИЦИНСКИЙ ПРИБОР или вспомогательное оборудование и содержащий информацию, предназначенную для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ или ОПЕРАТОРА, в частности, касающуюся БЕЗОПАСНОСТИ.

Примечание - Адаптировано из МЭК 60601-1:2005, статья 3.4.


[МЭК 80001-1:2010, статья 2.1]

3.2 УПРАВЛЕНИЕ ИЗМЕНЕНИЯМИ И ВЕРСИЯМИ (CHANGE-RELEASE MANAGEMENT): Процесс, гарантирующий, что все изменения в ИТ СЕТИ оценены, приняты, выполнены и проанализированы контролируемым способом, а также, что изменения проведены, распространены и отслежены, что приводит к смене версии контролируемым способом с соответствующими входными и выходными данными для УПРАВЛЕНИЯ КОНФИГУРАЦИЕЙ.

Примечание - Адаптировано из ИСО/МЭК 20000-1:2005, подразделы 9.2 и 10.1.


[МЭК 80001-1:2010, статья 2.2]

3.3 УПРАВЛЕНИЕ КОНФИГУРАЦИЕЙ (CONFIGURATION MANAGEMENT): ПРОЦЕСС, гарантирующий, что информация о конфигурации компонентов и ИТ СЕТИ определена и поддерживается с надлежащей точностью и контролем, а также обеспечивает механизм для идентификации, управления и отслеживания версий ИТ СЕТИ.

Примечание - Адаптировано из ИСО/МЭК 20000-1:2005, подраздел 9.1.


[МЭК 80001-1:2010, статья 2.4]

3.4 ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ (DATA AND SYSTEM SECURITY): Рабочее состояние МЕДИЦИНСКОЙ ИТ сети, в котором информационные ресурсы (данные и системы) обоснованно защищены от нарушения конфиденциальности, полноты и доступа.

Примечания

1 В настоящем стандарте в понятие защиты включена ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ.

2 ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ обеспечивается совокупностью политики, руководящих принципов, инфраструктуры и служб, спроектированных для защиты информационных ресурсов и систем, которые передают, хранят и используют информацию для осуществления миссии организации.


[МЭК 80001-1:2010, статья 2.5]

3.5 ЭФФЕКТИВНОСТЬ (EFFECTIVENESS): Способность достигать намеченных результатов по отношению к пациенту и ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ.

[МЭК 80001-1:2010, статья 2.6]

3.6 УПРАВЛЕНИЕ СОБЫТИЕМ (EVENT MANAGEMENT): ПРОЦЕСС, который гарантирует, что все события, негативно влияющие или способные негативно повлиять на работу ИТ СЕТИ, фиксируются, оцениваются и обрабатываются контролируемым способом.

Примечание - Адаптировано из ИСО/МЭК 20000-1:2005, подразделы 8.2 и 8.3.


[МЭК 80001-1:2010, статья 2.7]

3.7 ВРЕД (HARM): Физическая травма или ущерб здоровью людей, или имуществу, или окружающей среде, а также снижение ЭФФЕКТИВНОСТИ или нарушение ЗАЩИЩЕННОСТИ СИСТЕМЫ И ДАННЫХ.

Примечание - Адаптировано из ИСО 14971:2007, подраздел 2.2.


[МЭК 80001-1:2010, статья 2.8]

3.8 ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА.

[МЭК 80001-1:2010, статья 2.9]

3.9 ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда подвержены одной или нескольким ОПАСНОСТЯМ.

[МЭК 14971:2007, статья 2.4]

3.10 МЕДИЦИНСКАЯ ОРГАНИЗАЦИЯ, МО (HEALTHCARE DELIVERY ORGANIZATION): Одна или несколько ОТВЕТСТВЕННЫХ ОРГАНИЗАЦИЙ.

Примечание - В настоящем стандарте МЕДИЦИНСКИЕ ОРГАНИЗАЦИИ полагаются профессиональными организациями здравоохранения, включая больницы, офисы врачей, дома коммунальной медико-социальной помощи и клиники.

3.11 ИТ СЕТЬ (INFORMATION TECHNOLOGY NETWORK, IT-NETWORK): Система или системы, состоящие из взаимодействующих узлов и каналов передачи данных, предназначенные для обеспечения проводной или беспроводной передачи данных между двумя или более установленными узлами коммуникации.

Примечания

1 Адаптировано из МЭК 61907: 2009, статья 3.1.1.

2 В настоящем стандарте область применения МЕДИЦИНСКОЙ ИТ СЕТИ определяется ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ в зависимости от того, где в МЕДИЦИНСКОЙ ИТ СЕТИ располагаются МЕДИЦИНСКИЕ ПРИБОРЫ, а также от заданного применения сети. В область применения могут входить ИТ инфраструктура, медицинское обслуживание на дому и неклинические применения.


[МЭК 80001-1:2010, статья 2.12]

3.12 ОСНОВНЫЕ СВОЙСТВА (KEY PROPERTIES): Три управляемые характеристики риска (БЕЗОПАСНОСТЬ, ЭФФЕКТИВНОСТЬ и ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ) МЕДИЦИНСКИХ ИТ СЕТЕЙ.

[МЭК 80001-1:2010, статья 2.13]

Закупки не найдены
Свободные
Р
Заблокированные
Р
Роль в компании Пользователь

Для продолжения необходимо войти в систему

После входа Вам также будет доступно:
  • Автоматическая проверка недействующих стандартов в закупке
  • Создание шаблона поиска
  • Добавление закупок в Избранное