ГОСТ Р ИСО/ТО 27809-2009 Информатизация здоровья. Меры по обеспечению безопасности пациента при использовании медицинского программного обеспечения

Приложение С
(справочное)

     
Управление рисками

С.1 Общие сведения

Если управление рисками должно использоваться в качестве контрольного мероприятия, то потребуются подкрепляющие его стандарты. В настоящем приложении рассмотрена приемлемость для этой цели уже существующих стандартов.

Примечание - Настоящий обзор предназначен только для целей настоящего стандарта, затрагивая и резюмируя только вопросы, имеющие к нему отношение. Он не должен использоваться в качестве полного руководства в каком-либо отношении и для какой-либо цели (в случае необходимости, следует обратиться к исходным документам и компетентным национальным органам).

С.2 Атрибуты, необходимые для успешного внедрения процессов управления рисками

Для успешного применения управления рисками к программным продуктам для сферы здравоохранения в стандартах, руководствах и инструментах должны присутствовать ключевые атрибуты, а именно:

- доступный для понимания базовый процесс, включающий логику вычисляемых результатов и не привлекающий внешний персонал и других специалистов;

- совокупность всех основных составляющих риска;

- возможность измерения и взвешивания элементов на языке здравоохранения и в контексте незавершенного исторического события и данных об инциденте, позволяющая реализацию количественного подхода;

- гибкость в терминах детализации анализа и рекомендаций по средствам контроля, соответствующих сложности программного продукта для сферы здравоохранения, вычисленным уровням риска и стадии разработки продукта;

- способность итерационного повторения и расширения возможностей по оценке и управлению рисками в ходе разработки программного продукта для сферы здравоохранения;

- поддержка составных процессов и сложной природы программных продуктов для сферы здравоохранения в форме баз знаний, чтобы помочь их использованию "неспециалистами".

Данные атрибуты были использованы для оценки разных кандидатов в стандарты.

С.3 Минимум компонентов, необходимых для эффективного управления рисками

Во многих областях, смежных с разработкой программных продуктов для сферы здравоохранения, таких как информационная безопасность, с определенным успехом внедрены процессы управления рисками (см. С.6). Однако существуют установленные на практике общие компоненты управления рисками, являющиеся полезными индикаторами приемлемого процесса при разработке программных продуктов для сферы здравоохранения:

- идентификация свойств компонентов программного продукта для сферы здравоохранения, а также факторов риска и уязвимости этих свойств;

- оценка влияния (на изготовителя, пользователя и пациента со стороны программного продукта для сферы здравоохранения);

- вероятность угроз и оценка степени защищенности;

- определение уровней рисков (как составного результата уровней влияния, угроз и степени защищенности);

- идентификация рекомендуемых средств контроля (то есть обоснованных и соответствующих);

- сравнение с существующими средствами контроля для определения областей корректируемого риска;

- дополнительные возможности для обработки риска, включая прямое управление, признание, предотвращение, управляемый перевод риска и т.п.;

- планирование обработки риска (то есть реализация контроля).

С.4 Процессы управления рисками на предприятии
     

    С.4.1 Общие сведения

"Управление рисками на предприятии" - это новый термин, используемый для большего акцентирования комплексной природы процесса и, следовательно, применимости процесса к организации и осуществляемым ей действиям.

Можно ожидать, что стандарты по управлению рисками на предприятии являются высокоуровневыми документами, определяющими общую структуру, а не подробную модель процессов с сопутствующими базами знаний или экспертных знаний для поддержки анализа рисков и управления рисками от программных продуктов для сферы здравоохранения.

С.4.2 PD 6668:2000 "Управления рисками при корпоративном управлении"