Mikä on yrityksesi lähestymistapa ohjelmistopalveluntarjoajan hyväksymiseen ja ohjelmistojen ylläpitoon (SaaS) kyberturvallisuuteen?
Ohjelmistopalveluntarjoajan pätevyyden ja hallinnan tarve
Suurin osa viimeisen vuosikymmenen tuottavuuden kasvusta liittyy ohjelmistotyökalujen integrointiin liiketoimintaprosesseihimme. Aiemmin ohjelmistolisenssit olivat pieni osa yritysten budjetteja ja kriittisimmät ohjelmistotyökalut auttoivat hallitsemaan materiaalivaatimusten suunnittelun (MRP) toimintoja ja asiakassuhteen hallintaa (CRM). Nykyään on olemassa ohjelmistosovelluksia jokaisen liiketoimintaprosessin automatisoimiseksi. Yhden ohjelmistopalveluntarjoajan, joka tunnetaan myös nimellä ”Software-as-a-Service” tai (Saas), epäonnistuminen voi halvauttaa koko yrityksesi. Aiemmin liiketoiminnan jatkuvuussuunnitelmat keskittyivät työhön, tehoon, varastoon, tietueisiin ja logistiikkaan. Nykyään liiketoiminnan jatkuvuussuunnitelmiamme on myös laajennettava sisällyttämällä niihin ohjelmistopalveluntarjoajat, Internet -kaistanleveys, verkkosivustot, sähköposti ja kyberturvallisuus. Tämä uusi paradigma ei ole spesifinen lääketieteellisten laitteiden teollisuudelle. Lääketieteellisten laitteiden teollisuus on tullut entistä riippuvaisemmaksi toimitusketjustaan ulkoistamisen yleisyyden vuoksi, ja mitä tapahtuu muille toimialoille, se lopulta suodattaa tiensä tähän pieneen kollektiiviseen markkinarakoon. Tässä mielessä, miten voimme hyväksyä ja hallinnoida ohjelmistopalveluntarjoajaa?
Ohjelmistopalveluntarjoajien uhat (Kaseyan tapaustutkimus)
Kaksi vuotta sitten WannaCry -lunnasohjelmahyökkäys vaikutti 200,000 150 tietokoneeseen, 80 maahan ja yli XNUMX sairaalaan.
Kaseya ei ole sairaala. Kaseya on ohjelmistopalveluja tarjoava yritys. Miksi tämä esimerkki on merkityksellinen lääkinnällisten laitteiden teollisuudelle?
Lunnasohjelmahyökkäys Kaseyaan oli tarpeeksi vakava, jotta molemmat CISA ja FBI osallistui asiaan, ja se vaaransi joitakin hallittuja palveluntarjoajia (MSP) ja jatkokäyttäjiä. Tällä toimitusketjun ransomeware -hyökkäyksellä on jopa oma Wikipedian sivu. Hyökkäys sai Kaseyan sulkemaan palvelimet väliaikaisesti. Mikään näistä ei ole Kaseyan tai heidän tekojensa kritiikkiä. He olivat vain uutisissa viimeisin korkean profiilin kyberhyökkäyksen uhri. Verkkorikolliset hyökkäävät nyt toimitusketjuasi vastaan. Haluamme korostaa tämän tyyppisen hyökkäyksen käsitteitä ja näkökohtia, kun se koskee yritystäsi.
Mitä toimittajan valvontaa tarvitset ohjelmistopalveluntarjoajalle?
Jos olet valmistaja, joka myy lääketieteellistä laitetta Yhdysvaltain FDA: n lainkäyttövallan alaisuudessa, sinun on noudatettava 21 CFR 820.50 -standardia (eli ostotarkastuksia). FDA edellyttää vakiintunutta ja ylläpidettyä menettelyä sen valvomiseksi, miten varmistat, että yrityksesi ostamat tuotteet täyttävät tarvitsemasi vaatimukset. Monet laitevalmistajat harkitsevat vain fyysisiä komponentteja valmistavia toimittajia, mutta ohjelmistopalveluntarjoaja voi olla kriittinen laitteellesi, jos laitteesi sisältää ohjelmiston tai on vuorovaikutuksessa ohjelmistolisälaitteen kanssa. Ohjelmistopalveluntarjoaja voi olla mukana myös laatujärjestelmäohjelmistossa, kliinisten tietojen hallinnassa tai lääketieteellisten laitteiden tiedostoissa. Ostatko ohjelmiston palveluna vai luotatko MSP: hen pilvitallennuksessa?
Sinun on määritettävä, onko ohjelmistopalveluntarjoajasi mukana asiakirjojen tarkistamisessa tai hyväksymisessä, tarkkojen tietueiden valvonnassa, suojattuissa terveystiedoissa (PHI) tai sähköisen allekirjoituksen vaatimuksissa. Et tarvitse toimittajan laatusopimusta kaikista yrityksesi ostamista valmiista tuotteista. Olisi esimerkiksi typerää saada Sharpie allekirjoittamaan toimittajasopimus, koska ostat satunnaisesti korostuskynän paketin. Toisaalta, jos luotat siihen, että Docusign hallitsee 100% allekirjoittamistasi laatutietueista, sinun on tiedettävä, milloin Docusign päivittää ohjelmistonsa tai havaitsee tietoturvaloukkauksen. Sinun pitäisi myös vahvistaa Docusign a ohjelmistotyökalu, ja tiedoistasi pitäisi olla varmuuskopio.
21 CFR 820.50 edellyttää, että dokumentoit toimittajien arviot, jotka täyttävät määritetyt ja laatuvaatimukset "vakiintuneen ja ylläpidetyn" menettelyn mukaisesti. Tälle toimittajalle asetetut vaatimukset voivat sisältää seuraavat:
- Kuinka paljon tallennustilaa tarvitset?
- Kuinka monta käyttäjätiliä tarvitset?
- Tarvitsetko yksilöllisiä sähköisiä tunnuksia kullekin käyttäjälle?
- Tarvitsetko teknistä tukea ohjelmistopalvelulle?
- Käytetäänkö ohjelmistoa Internet-selaimella, vai onko ohjelmistosovelluspohjainen vai molempia?
- Paljonko tämä ohjelmistopalvelu maksaa?
- Onko lisenssi kertaluonteinen hankinta? Vai onko se tilaus?
Tällaisen toimittajan laatuvaatimukset saattavat näyttää enemmän näiltä kysymyksiltä;
- Miten tietoni varmuuskopioidaan?
- Voinko palauttaa aiemmat tiedostot korruptiotapauksissa?
- Miten voin hallita pääsyä tietoihini?
- Voinko allekirjoittaa sähköisiä asiakirjoja? Jos kyllä, onko se 21 CFR Part 11 -yhteensopiva?
- Onko tällä toimittajalla pääsy tietoihini loppupään kautta? (näkevätkö toimittajan toimittajat tavarani?)
- Hallitsen PHI: tä? Jos näin on, voidaanko tämä järjestelmä tehdä HIPAA -yhteensopivaksi? Entä HITECH?
- Mitä kyberturvallisuuskäytäntöjä tämä toimittaja käyttää?
- Miten rutiininomaiset korjaukset ja päivitykset välitetään minulle?
Riskiperusteinen lähestymistapa toimittajien laadunhallintaan
ISO 13485: 2016 edellyttää, että käytät riskipohjaista lähestymistapaa kaikissa prosesseissa, mukaan lukien toimittajien laadunhallinta. Riskipohjaista lähestymistapaa olisi sovellettava sekä tavaroita että palveluja tarjoaviin toimittajiin. Voit esimerkiksi tilata lähetyslaatikoita ja tehdä sterilointipalveluja. Molemmat yritykset ovat toimittajia, mutta tässä esimerkissä sopimussterilointilaitteen tarjoamat palvelut liittyvät paljon suurempaan riskiin kuin lähetyslaatikon toimittaja. Siksi on järkevää, että sinun on hallittava enemmän sterilointilaitetta. Ohjelmistopalveluntarjoajat ovat paljon kuin sopimussterilointilaite. SaaS ei ole konkreettinen, mutta tarjotuilla palveluilla voi olla suuri riski ja mahdolliset vaikutukset laatujärjestelmääsi. Siksi sinun on määritettävä SaaS -palveluun liittyvät riskit, ennen kuin voit arvioida, hallita ja valvoa ohjelmistopalveluntarjoajaa.
Ensin sinun on dokumentoitava uuden toimittajan pätevyys. Olisi mukavaa, jos pilvipalveluntarjoajallasi olisi voimassa oleva ISO 13485: 2016 sertifiointi. Sinulla olisi sitten objektiivisesti osoitettavissa oleva tietue prosessinhallinnasta ja tiedät, että ne tarkastetaan rutiininomaisesti sertifioinnin ylläpitämiseksi. He ymmärtävät ja odottavat myös toisen osapuolen toimittajatarkastuksia, koska he toimivat lääkinnällisten laitteiden alalla. Vaihtoehtoisesti ohjelmistopalveluntarjoajalla voi olla ISO 2: 9001 -sertifikaatti. Tämä on yleinen laatujärjestelmän sertifiointi, jota voidaan soveltaa kaikkiin tuotteisiin tai palveluihin. Jos laatujärjestelmän sertifiointia ei ole, voit tarkastaa mahdollisen toimittajan. Joillekin toimittajille tämä on järkevää. Monilla yrityksillä, jotka ovat lääkinnällisten laitteiden teollisuuden ulkopuolella, ei kuitenkaan ole edes laatujärjestelmää, koska se ei ole pakollista tai tyypillistä toimialalleen. Niille, jotka tekevät, voit kuitenkin hyödyntää olemassa olevia sertifikaatteja ja akkreditointeja.
Kyberturvallisuusstandardit, jotka sinun pitäisi tietää
Useimmilla pilvipalveluntarjoajilla ei ole ISO 13485 -sertifikaattia, koska se on lääketieteellisten laitteiden teollisuudelle ominainen laadunhallintastandardi. Voit kuitenkin etsiä jonkin yhdistelmän seuraavista ISO -standardeista, jotka voivat olla merkityksellisiä ohjelmistopalveluntarjoajalle:
- ISO / IEC 27001 Tietotekniikka - Suojaustekniikat - Tietoturvan hallintajärjestelmät - Vaatimukset
- ISO / IEC 27002: 2013 Tietotekniikka. Suojaustekniikat. Käytännesäännöt tietoturvan valvonnasta
- ISO / IEC 27017: 2015 Tietotekniikka. Suojaustekniikat. Käytäntöohjeet tietoturvaohjaimille, jotka perustuvat ISO/IEC 27002 pilvipalveluihin
- ISO / IEC 27018: 2019 Tietotekniikka - Suojaustekniikat - Käytännesäännöt henkilökohtaisesti tunnistettavien tietojen suojaamiseksi julkisissa pilvissä, jotka toimivat PII -prosessoreina
- ISO 22301: 2019 Turvallisuus ja kestävyys - Liiketoiminnan jatkuvuuden hallintajärjestelmät - Vaatimukset
- ISO / IEC 27701: 2019 Suojaustekniikat. Laajennus ISO/IEC 27001- ja ISO/IEC 27002 -standardeihin tietosuojatietojen hallintaa varten. Vaatimukset ja ohjeet
Onko ohjelmistopalveluntarjoajallasi SOC -raportteja?
Lyhenne “SOC” tarkoittaa Service Organisation Controlia, ja nämä raportit on laatinut American Institute of Certified Public Accountants. SOC -raportit ovat sisäisiä valvontatoimenpiteitä, joita organisaatio käyttää, ja jokainen raportti koskee tiettyä aihetta. SOC -raportit koskevat vaihtelevasti SaaS- ja MSP -toimittajia
SOC 1 -raportti keskittyy taloudellisen raportoinnin sisäiseen valvontaan. Riippuen siitä, mitä tietoja sinun on tallennettava pilveen, tämä raportti voi soveltua paremmin koko liiketoimintasi jatkuvuuteen kuin erityisesti laatujärjestelmääsi.
SOC 2 -raportissa käsitellään, minkä tason valvonta organisaatio asettaa viidelle Luottamuspalveluehdot: 1) turvallisuus, 2) saatavuus, 3) käsittelyn eheys, 4) luottamuksellisuus ja 5) yksityisyys. Lääkinnällisten laitteiden valmistajana nämä alueet koskisivat asiakirjojen hallintaa, tietueiden valvontaa ja prosessin validointia muun muassa laatujärjestelmäsi alueilla. Jotkut toimittajat eivät ehkä jaa SOC 2 -raporttia kanssasi raportissa luottamuksellisten yksityiskohtien vuoksi.
SOC 3 -raportti sisältää paljon samoja tietoja kuin SOC 2 -raportti. Molemmat käsittelevät viittä luottamuspalveluehtoa. Ero on raporttien kohdeyleisössä. SOC 3 on yleiskäyttöraportti, jonka odotetaan jaettavan muiden kanssa tai julkisesti saatavilla. Siksi se ei mene samaan läheiseen yksityiskohtaisuuteen kuin SOC 2 -raportti. Erityisesti tiedot siitä, mitä valvontajärjestelmiä järjestelmä käyttää, ovat hyvin lyhyitä, jos niitä tunnistetaan ollenkaan verrattuna SOC 2 -raportin kuvaukseen ja luetteloon.
Muita tapoja saada ja hallita ohjelmistopalveluntarjoajaasi
SOC -raportit auttavat maalaamaan kuvan organisaatiosta, jota yrität saada. Sinun on myös arvioitava toimittaja jatkuvasti. On välttämätöntä tietää, onko toimittajalla rutiinitarkastuksia ja tarkastuksia soveltuvien sertifikaattien ja akkreditointien ylläpitämiseksi. Jos esimerkiksi heidän ISO -sertifikaatinsa kestää kolme vuotta, sinun on tiedettävä, että sinun on otettava yhteyttä toimittajaan uuden sertifikaatin saamiseksi vähintään joka kolmas vuosi. Toisaalta, jos he menettävät sertifikaatin, se voi merkitä sitä, että toimittaja ei voi enää täyttää tarpeitasi ja sinun pitäisi löytää uusi toimittaja.
On olemassa pitkä luettelo standardeista, sertifioinneista, akkreditoinneista, todistuksista ja rekistereistä, joita voit käyttää SaaS- tai MSP -toimittajan hyväksymiseen. Yhtä tällaista rekisteriä ylläpitää Cloud Security Alliance (eli CSA STAR -rekisteri). "STAR" on lyhenne sanoista Security, Trust, Assurance, and Risk. CSA kuvaa STAR -rekisteriä omin sanoin seuraavasti:
”STAR käsittää läpinäkyvyyden, tiukan tarkastuksen ja standardien yhdenmukaistamisen keskeiset periaatteet, jotka on kuvattu Cloud Controls Matrixissa (CCM) ja CAIQ: ssa. Julkaiseminen rekisteriin antaa organisaatioille mahdollisuuden näyttää nykyisille ja mahdollisille asiakkaille heidän turvallisuus- ja vaatimustenmukaisuusasentonsa, mukaan lukien säännöt, standardit ja puitteet, joita ne noudattavat. Se viime kädessä vähentää monimutkaisuutta ja auttaa lievittämään tarvetta täyttää useita asiakaskyselyitä. ”
Jotkut toimittajan kelpoisuusprosessin kysymyksistä sinun pitäisi kysyä SaaS- ja MSP -toimittajistasi:
- Miksi tarvitsen tätä ohjelmistopalvelua?
- Mitä standardeja, määräyksiä tai prosessin valvontaa on noudatettava?
- Mitä vaaditaan SaaS- tai MSP -palvelua tarjoavien toimittajien hyväksymiseen?
- Miten seuraat ohjelmistopalveluntarjoajaa?
ISO -sertifiointi, SOC -raportit ja CSA STAR -rekisteri ovat toimittajien arviointityökaluja, joiden avulla voit käyttää toimittajien pätevyyttä ja valvontaa. Kun käytät näitä työkaluja, varmista, että kysyt avoimia kysymyksiä suljettujen kysymysten sijasta. Meidän webinaari toimittajan pätevyydestä tarjoaa useita esimerkkejä siitä, miten "antiikki" kyllä/ei-kysymyksesi voidaan muuntaa lisäarvokysymyksiksi.
Ohjelmistopalveluntarjoajasi pitäisi pystyä toimittamaan tietueet ja mittarit, jotka osoittavat kyberturvallisuussuunnitelmiensa tehokkuuden. Alla on kolme esimerkkiä muuntyyppisistä tietueista, joita voit pyytää:
- Cloud Computing Compliance Controls Catalog tai C5 -todistusraportti
- Järjestelmän turvasuunnitelma hallittuja luokittelemattomia tietoja varten NIST julkaisu SP 800-171
- Privacy Sheild -sertifikaatti EU: n ja Yhdysvaltojen välisen Privacy Shieldin tai Sveitsin ja Yhdysvaltojen välisen Privacy Shield -järjestön mukaan
Priacy shield -sertifiointi voi olla erityisen tärkeää yrityksille, joilla on CE -merkittyjä laitteita, jotta ne voivat noudattaa Euroopan unionin yleistä tietosuoja -asetusta (GDPR) tai Asetuksen 2016 / 679.
Viimeinen huomio toimittajan pätevyydestä on: "Ketkä ovat alkupään toimittajia?" On tärkeää tietää, onko sinulla uudella toimittajalla tai heidän toimittajillaan pääsy suojattuihin terveystietoihin (PHI). Koska sinulla on vähemmän hallintaa toimittajasi alihankkijoista, sinun on ehkä arvioitava, miten toimittaja hallinnoi toimitusketjuaan ja mitä yleisiä kyberturvallisuuskäytäntöjä tavarantoimittajasi alihankkijat noudattavat.
Lisää kyberturvallisuutta, ohjelmistojen validointia ja toimittajien laaturesursseja
Lisätietoja kyberturvallisuuteen, ohjelmistojen validointiin ja toimittajien laadunhallintaan liittyvistä resursseista saat seuraavista resursseista:
Lähde: https://medicaldeviceacademy.com/software-service-provider/
- 000
- 11
- 2016
- 2021
- pääsy
- lisävaruste
- sopimus
- Kaikki
- Liitto
- Amerikkalainen
- keskuudessa
- sovellukset
- tilintarkastus
- saatavuus
- Laatikko
- rikkominen
- selain
- liiketoiminta
- liiketoiminnan jatkuvuus
- liiketoimintaprosesseja
- tapaustutkimus
- todistus
- Certification
- CISA
- pilvi
- Pilvisuojaus
- Cloud Storage
- koodi
- Yritykset
- yritys
- noudattaminen
- tietokoneet
- tietojenkäsittely
- pitoisuus
- sopimus
- korruptio
- maahan
- CRM
- Nykyinen
- asiakassuhteiden hallinta
- Asiakkaat
- Kyberhyökkäys
- verkkorikollisille
- tietoverkkojen
- tiedot
- tiedonhallinta
- tietosuoja
- tietovarasto
- yksityiskohta
- Laitteet
- asiakirjat
- DocuSign
- Eurooppalainen
- Käyttää
- Laajentaa
- Epäonnistuminen
- FBI
- FDA
- taloudellinen
- seurata
- GDPR
- general
- Yleinen tietosuojadirektiivi
- tavarat
- terveys
- Korkea
- Sairaala
- sairaalat
- Miten
- Miten
- HTTPS
- Vaikutus
- Mukaan lukien
- sisällyttäminen
- teollisuuden
- teollisuus
- tiedot
- tietoturva
- tietotekniikka
- Internet
- inventaario
- osallistuva
- IT
- avain
- työ
- uusin
- OPPIA
- Taso
- Vaikutusvalta
- Lisenssi
- lisenssejä
- Lista
- logistiikka
- Pitkät
- Tekeminen
- johto
- Valmistaja
- lääketieteellinen
- lääketieteellinen laite
- Metrics
- seuranta
- uutiset
- avata
- tilata
- Muut
- Muuta
- Ulkoistaminen
- maali
- paradigma
- Merkit
- fyysinen
- kuva
- pii
- suunnittelu
- soitin
- Viestejä
- teho
- yksityisyys
- tuottavuus
- Tuotteemme
- suojaus
- julkinen
- Julkaiseminen
- osto
- ostot
- laatu
- ransomware
- Ransomware -hyökkäys
- asiakirjat
- Asetus
- määräykset
- raportti
- Raportit
- vaatimukset
- Esittelymateriaalit
- arviot
- Riski
- SaaS
- turvallisuus
- tunne
- Palvelut
- Jaa:
- yhteinen
- Lähetys
- pieni
- So
- Tuotteemme
- ohjelmisto palveluna
- Software-as-a-Service/SaaS
- standardit
- Levytila
- verkkokaupasta
- tutkimus
- tilaus
- toimittajat
- toimittaa
- toimitusketju
- tuki
- järjestelmä
- järjestelmät
- teknologia
- Elektroniikka
- aika
- kosketa
- Läpinäkyvyys
- Luottamus
- meille
- Päivitykset
- Video
- verkkoseminaari
- sivustot
- wikipedia
- sanoja
- vuotta
- youtube
