Cybersecurity

Cyberbezpieczeństwo

Firma Mindray planuje zbudować relację opartą na zaufaniu ze swoimi klientami, przekonując ich o swoim zaangażowaniu

w stosowanie standardów bezpieczeństwa, zapewnianie bezpieczeństwa pacjentów i ochronę ich informacji wrażliwych.

 

Nasze zaangażowanie w cyberbezpieczeństwo

Rosnące wykorzystanie połączonych technologii cyfrowych w opiece zdrowotnej powoduje wzrost zagrożeń cyberbezpieczeństwa. Firma Mindray zobowiązuje się do zapewnienia bezpieczeństwa pacjentów, wzmocnienia integralności naszych urządzeń medycznych i ochrony danych wrażliwych. Stosując ochronę prywatności oraz techniki i praktyki cyberbezpieczeństwa na każdym etapie rozwoju naszych produktów, dostarczamy produkty i usługi nie tylko innowacyjne, ale również odporne na ataki.

Dokumentacja techniczna cyberbezpieczeństwa produktów firmy Mindray

Nieustannie dążymy do wdrażania najlepszych praktyk w zakresie cyberbezpieczeństwa. Dowiedz się więcej o naszym kompleksowym i proaktywnym podejściu do cyberbezpieczeństwa.

Czytaj więcej (PDF)

Bezpieczeństwo i certyfikacja

Firma Mindray uzyskała certyfikaty ISO/IEC 27001:2022 i ISO/IEC 27701:2019 w zakresie systemów zarządzania bezpieczeństwem informacji i zarządzania informacjami o ochronie prywatności.

Czytaj więcej

Pomyślne zdobycie tych certyfikatów ISO dobitnie pokazuje, że nasze praktyki biznesowe są zgodne z globalnymi normami bezpieczeństwa, zapewniając najlepszą ochronę prywatności danych wszystkich współpracujących z nami organizacji i osób.

Nasze stanowisko w sprawie cyberbezpieczeństwa

{{data.title}}

{{positionList[0].title}}

Firma Mindray jest wiodącym producentem urządzeń medycznych i rozwiązań, który postawił sobie za cel zaoferowanie wszystkim ludziom lepszej opieki medycznej. Od momentu założenia w 1991 r. firma Mindray koncentrowała się na trzech głównych liniach produktowych: monitorowanie pacjenta i podtrzymywanie życia (PMLS), obrazowanie medyczne (MIS) i diagnostyka in vitro (IVD). Główna siedziba firmy jest zlokalizowana w Shenzhen w Chinach. Firma ma 42 międzynarodowe spółki zależne i oddziały w 32 krajach, zatrudniając około 7500 pracowników na całym świecie, wspierając różnych dostawców usług medycznych i tworząc wartość dla społeczeństwa. O zaangażowaniu firmy w innowacje świadczy 12 globalnych centrów badawczo-rozwojowych oraz inwestycje w badania i rozwój na poziomie 10% rocznych przychodów.

{{positionList[1].title}}

Nasze zasady i wartości dotyczące bezpieczeństwa produktów mają źródło w niezachwianym zaangażowaniu w ochronę bezpieczeństwa pacjentów, wzmacnianie integralności naszych urządzeń medycznych i ochronę danych wrażliwych. Kierując się międzynarodowymi standardami i najlepszymi praktykami, postawiliśmy sobie za cel przejrzystość, odpowiedzialność i nieustanne doskonalenie. Koncentrujemy się na stworzeniu bezpieczniejszego i bardziej niezawodnego otoczenia opieki zdrowotnej, w którym łączą się najnowocześniejsze technologie i bezkompromisowe bezpieczeństwo, aby zapewnić ochronę i wzmacniać tych, którym służymy.

Wdrażając zasady bezpieczeństwa i prywatności w fazie projektowania naszych produktów, dokładamy starań, aby zapewnić cyberbezpieczeństwo i prywatność na poziomie koncepcji naszych urządzeń medycznych. Tylko w ten sposób możemy osiągnąć niezawodność podstawowych usług medycznych i nienaruszalność poufności danych.

Zaufanie buduje się nie przez pokazywanie co robimy, ale jak to robimy. Przejrzyste podejście Mindray do cyberbezpieczeństwa zapewnia naszym klientom pełny dostęp do informacji o stosowanych przez nas praktykach bezpieczeństwa. Dzięki tej przejrzystości i otwartości naszych praktyk cyberbezpieczeństwa, nasi klienci zyskują pewność, której potrzebują.

Cheng Minghe

Wiceprzewodniczący, członek rady ds. zgodności z przepisami Mindray

Staramy się, aby bezpieczeństwo było zintegrowane ze strukturą każdego produkowanego przez nas urządzenia, co zapewnia ich niezawodność i odporność na ataki w najważniejszych obszarach opieki zdrowotnej. Cyberbezpieczeństwo to nie tylko funkcja. To podstawowa zasada, według której projektujemy, rozwijamy i produkujemy każde urządzenie medyczne.

Li Zaiwen

Starszy wiceprezes, członek rady ds. zgodności z przepisami Mindray

Wróć do Prywatność w fazie projektowania

{{positionList[2].title}}

Zdajemy sobie sprawę, że wysokie bezpieczeństwo informacji przedsiębiorstwa ma ogromne znaczenie dla rozwoju i utrzymania zaufania do nas i naszych urządzeń. Tak solidne podstawy można osiągnąć wyłącznie dzięki doświadczonym i przeszkolonym pracownikom, którzy projektują oraz dostarczają bezpieczne i niezawodne usługi i produkty.

Firma: obrona strategiczna

Utrzymywanie niezawodnych zabezpieczeń przedsiębiorstwa przez wdrożenie kompleksowych planów reagowania i niezwykle odpornej infrastruktury. Zapewniają one stabilność operacyjną oraz pozwalają na stałe usprawnianie ochrony systemów wewnętrznych i danych.

Ludzie: doskonalenie osób odpowiedzialnych za bezpieczeństwo

Dzięki szeroko zakrojonym szkoleniom w zakresie praktyk bezpieczeństwa i norm zachowania poufności informacji nasi pracownicy rozwijają naszą kulturę bezpieczeństwa.

Produkt: bezpieczeństwo na poziomie koncepcji

Wyposażenie wszystkich urządzeń medycznych w silne zabezpieczenia już na etapie projektowania oraz budowanie zaufania naszych klientów i dostarczanie im niezawodnych rozwiązań.

{{positionList[3].title}}

Mamy świadomość ogromnego wpływu i znaczenia przestrzegania międzynarodowych norm i certyfikacji na zapewnienie najwyższych poziomów jakości, bezpieczeństwa i cyberbezpieczeństwa produktów.

Firma Mindray przestrzega między innymi następujących obowiązujących norm i wymagań: TIR57, ISO 14971, ISO 31000, IEC/TR 80001-2-2, wymagania i wytyczne FDA stosowane przed wprowadzeniem produktu do obrotu i po nim, MDCG 2019-16, zasady i praktyki IMDRF, europejskie ogólne rozporządzenie o ochronie danych (RODO), amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) lub chińska ustawa o ochronie danych osobowych (PIPL).

{{positionList[4].title}}

Uważamy, że cyberbezpieczeństwo w branży opieki zdrowotnej i urządzeń jest wspólnym obowiązkiem. Istota ekosystemu współpracujących ze sobą urządzeń medycznych niejako wymusza na producentach i dostawcach usług medycznych konieczność wypracowania odpowiednich praktyk cyberbezpieczeństwa.

Model cyberbezpieczeństwa produktów

Cyberbezpieczeństwo produktów firmy Mindray jest nierozłącznie związane z modelem cyberbezpieczeństwa produktów firmy Mindray. Są to wewnętrznie opracowane ramy bezpieczeństwa mające zapewnić ochronę naszych urządzeń medycznych, a także pokazywać wszystkim zespołom i oddziałom firmy Mindray jak wdrażać wytyczne w zakresie cyberbezpieczeństwa. Nasz model opiera się na zasadach NIST Cybersecurity Framework (CSF), które obejmują sześć podstawowych elementów: zarządzanie, identyfikowanie, ochrona, wykrywanie, reagowanie i odzyskiwanie. Opierając się na tych uznanych podstawach, dostosowaliśmy nasz model do wyzwań i wymagań branży urządzeń medycznych.

Model cyberbezpieczeństwa produktów firmy Mindray
{{item.title}}
{{data}}
{{data.title}}

{{modelList[0].title}}

Struktura zarządzania i zasady

Usprawniając proces podejmowania strategicznych decyzji i wdrażania zasad, ustanowiliśmy wyraźne zakresy odpowiedzialności i kanały komunikacyjne.

Ramy zarządzania ryzykiem

Solidne ramy zarządzania ryzykiem to fundament strategii cyberbezpieczeństwa firmy Mindray. Umożliwiają nam szybkie identyfikowanie, ocenę i eliminowanie potencjalnych luk w zabezpieczeniach w sposób systemowy w całym cyklu życia produktu.

Monitorowanie zgodności z przepisami i wymogami wewnętrznymi

Monitorowanie zgodności z przepisami jest ważnym elementem naszej strategii cyberbezpieczeństwa. Pozwala nam na dopasowanie wewnętrznych standardów do wymogów określonych w przepisach i praktyk powszechnie stosowanych w branży.

{{modelList[1].title}}

Bezpieczeństwo w fazie projektowania

Bezpieczeństwo w fazie projektowania stanowi podstawę istnienia firmy Mindray, która zapewnia wdrażanie zasad i wymagań bezpieczeństwa już na etapie projektowania produktu.

Praktyki bezpiecznego programowania i kontrola jakości

Opierając się na zasadach bezpieczeństwa w fazie projektowania, opracowaliśmy kompleksowe i systemowe standardy bezpiecznego programowania. W tym celu korzystaliśmy z norm Międzynarodowej Komisji Elektrotechnicznej (IEC), najlepszych praktyk z branży, a także naszego ogromnego doświadczenia w rozwoju oprogramowania.
W naszych standardach bezpiecznego programowania zastosowaliśmy też rozwiązania z norm kontroli procesów i zapewniania jakości.
Dokładamy też wszelkich starań, aby zapewnić naszym programistom otoczenie i warunki sprzyjające ciągłemu doskonaleniu i wymianie wiedzy.

Ocena bezpieczeństwa i testowanie

Firma Mindray wdrożyła procedury oceny bezpieczeństwa i testowania, aby umożliwić identyfikację potencjalnych luk w zabezpieczeniach i ich wyeliminowanie, a także testowanie i weryfikowanie wdrażanych zabezpieczeń.

{{modelList[2].title}}

Kontrola dostępu

Nasze urządzenia medyczne są wyposażone w mechanizm kontroli dostępu opartej na rolach (RBAC), który przyznaje poszczególnym użytkownikom uprawnienia na podstawie ich roli w organizacji. Mechanizm blokowania, automatyczne wylogowywanie, zarządzanie hasłami, uwierzytelnianie sieci Wi-Fi, scentralizowane i bezpieczne uwierzytelnianie, kontrola zmian w konfiguracji to jedynie kilka dodatkowych zabezpieczeń, które zapewniają bezpieczeństwo dostępu.

Zwiększanie odporności systemu na włamania i kontrola konfiguracji

Zwiększanie odporności systemu na włamania to nasze kolejne działanie mające na celu zmniejszenie powierzchni ataku i w rezultacie zabezpieczenie naszych urządzeń. Najważniejsze elementy praktyk zwiększania odporności systemu firmy Mindray, które różnią się w zależności od modelu, obejmują między innymi wytyczne zwiększania odporności systemu operacyjnego, białe listy aplikacji i procesów, programy antywirusowe i zabezpieczające przed oprogramowaniem złośliwym, zaporę sieciową, wyłączanie niepotrzebnych funkcji stwarzających zagrożenie, tryb kiosku, kontrolę aktualizacji systemu operacyjnego i oprogramowania.

Przejrzysta wymiana informacji

Dokładamy wszelkich starań, aby zachować przejrzystość zabezpieczeń stosowanych w naszych urządzeniach. Nasze najważniejsze działania mające na celu poprawę przejrzystości to między innymi: dokumentacja techniczna cyberbezpieczeństwa, instrukcje obsługi produktów, oświadczenie producenta dotyczące bezpieczeństwa urządzeń medycznych (MDS2), struktura produktu oprogramowania (SBOM), pomoc w planach wdrożenia.

{{modelList[3].title}}

Luki w zabezpieczeniach wykryte po wprowadzeniu na rynek i zarządzanie poprawkami

Produkty firmy Mindray wykorzystują systemy operacyjne innych firm, takie jak Microsoft Windows i Linux. Aby zapewnić bezpieczeństwo tych systemów operacyjnych, opracowaliśmy kompleksową strategię zarządzania poprawkami, która umożliwia nam stałe monitorowanie potencjalnych luk w zabezpieczeniach, oceny ich wpływu na nasze urządzenia i wdrażania poprawek w celu wyeliminowania tych problemów.

Koniec okresu eksploatacji i wsparcie przy wycofywaniu z eksploatacji

Wysyłamy naszym klientom szczegółowe pisma z informacjami o procedurach postępowania w związku ze zbliżającym się końcem okresu eksploatacji produktów.
Udzielamy wsparcia i umożliwiamy dostawcom usług medycznych bezpieczne wycofanie urządzeń z eksploatacji, udostępniając im naszych doświadczonych pracowników lub przekazując dokumentację z zakresu najlepszych praktyk bezpiecznej utylizacji, np. instrukcje trwałego wymazywania danych.

Zarządzanie zdarzeniami

Reagowanie na zdarzenia i pomoc techniczna

Firma Mindray utworzyła specjalne zespoły nadzorujące proces reagowania na zdarzenia oraz stale monitorujące i badające występujące zdarzenia, które mogą wpływać negatywnie na nasze urządzenia. Po wykryciu lub zgłoszeniu zdarzenia związanego z bezpieczeństwem zespoły, współpracując z poszczególnymi jednostkami biznesowymi, oceniają ryzyko, opracowują plany reagowania i wdrażają odpowiednie rozwiązania. Opracowaliśmy „Wytyczne reagowania na zdarzenia związane z cyberbezpieczeństwem”, aby wprowadzić standardowe i ujednolicone procedury w różnych podmiotach. W razie wystąpienia zagrożenia wymagającego zgłoszenia do odpowiednich organów nadzoru współpracujemy ściśle z odpowiednimi organami, aby szybko i dokładnie przekazywać im wymagane informacje. Przez cały czas trwania procedury utrzymujemy stały kontakt z naszymi klientami. Staramy się wspólnie szybko ocenić sytuację i wdrożyć niezbędne środki, aby zminimalizować negatywne skutki i zapewnić bezpieczeństwo urządzeń.

Urządzenia medyczne firmy Mindray są wyposażone w funkcje zapewniające ciągłość działania nawet w przypadku wykrycia zdarzeń związanych z cyberbezpieczeństwem. W zależności od możliwości, niektóre urządzenia wykorzystują mechanizmy, takie jak uzupełnianie i synchronizacja danych, aby zapewnić bezpieczeństwo najważniejszych danych pacjentów w przypadku awarii sieci. Część urządzeń jest też wyposażona w mechanizm dzielący sieć na osobne warstwy, który może izolować zagrożenia występujące na urządzeniu od sieci szpitalnej. Dodatkowo zastosowanie środowiska sieciowego z nadmiarowymi sieciami przewodowymi i bezprzewodowymi pozwala na bezproblemową pracę urządzenia, nawet jeżeli jedna z sieci ulegnie awarii.

Ochrona danych

Prywatność w fazie projektowania

Firma Mindray przeprowadziła analizę porównawczą swoich procesów względem norm międzynarodowych i najlepszych praktyk, a następnie na podstawie jej wyników wdrożyła system zarządzania zgodnością z przepisami dotyczącymi bezpieczeństwa informacji i ochrony poufności danych.

Jej podstawowe zasady „Prywatność w fazie projektowania” i Domyślna ochrona danych” stały się częścią procesu projektowania produktów. Te zasady są wdrażane już na etapie koncepcyjnym i planowania rozwoju produktów przez zastosowanie podstawowych wytycznych w zakresie uprawnień, rejestrowania, szyfrowania oraz deidentyfikacji/anonimizacji itd.

Ocena skutków przetwarzania w zakresie danych osobowych

W ramach procesu rozwoju produktów wprowadziliśmy „Ocenę skutków przetwarzania w zakresie danych osobowych” (PIA), aby zapewnić wdrożenie odpowiednich środków kontroli zgodnie z obowiązującymi przepisami.

Opublikowaliśmy też szczegółową dokumentację techniczną RODO, która zawiera informacje o ładzie korporacyjnym, kontrolach wewnętrznych i mechanizmach przetwarzania danych osobowych stosowanych w firmie Mindray. Przedstawiają one nasze zaangażowanie w utrzymanie wysokich standardów bezpieczeństwa i prywatności danych.

Szyfrowanie danych

Firma Mindray wykorzystuje kompleksowe metody szyfrowania zapewniające bezpieczeństwo danych przesyłanych przez sieć, jak i przechowywanych w pamięci masowej. Każda linia produktów firmy Mindray wykorzystuje protokoły i metody dobrane do konstrukcji danego urządzenia i potrzeb biznesowych. Zapewnia to właściwą ochronę wszystkich danych.

Obsługa danych podczas konserwacji

Firma Mindray zapewnia dostawcom usług medycznych kompleksowe wytyczne w zakresie bezpiecznego zarządzania danymi w trakcie konserwacji. Równocześnie nasz personel stosuje środki kontroli dostępu, kierując się zasadą minimalnego uprzywilejowania.

Ujawnianie podatności

false