Cyberbezpieczeństwo
Firma Mindray planuje zbudować relację opartą na zaufaniu ze swoimi klientami, przekonując ich o swoim zaangażowaniu
w stosowanie standardów bezpieczeństwa, zapewnianie bezpieczeństwa pacjentów i ochronę ich informacji wrażliwych.
Nasze zaangażowanie w cyberbezpieczeństwo
Rosnące wykorzystanie połączonych technologii cyfrowych w opiece zdrowotnej powoduje wzrost zagrożeń cyberbezpieczeństwa. Firma Mindray zobowiązuje się do zapewnienia bezpieczeństwa pacjentów, wzmocnienia integralności naszych urządzeń medycznych i ochrony danych wrażliwych. Stosując ochronę prywatności oraz techniki i praktyki cyberbezpieczeństwa na każdym etapie rozwoju naszych produktów, dostarczamy produkty i usługi nie tylko innowacyjne, ale również odporne na ataki.
Dokumentacja techniczna cyberbezpieczeństwa produktów firmy Mindray
Nieustannie dążymy do wdrażania najlepszych praktyk w zakresie cyberbezpieczeństwa. Dowiedz się więcej o naszym kompleksowym i proaktywnym podejściu do cyberbezpieczeństwa.
Czytaj więcej (PDF)Bezpieczeństwo i certyfikacja
Firma Mindray uzyskała certyfikaty ISO/IEC 27001:2022 i ISO/IEC 27701:2019 w zakresie systemów zarządzania bezpieczeństwem informacji i zarządzania informacjami o ochronie prywatności.
Czytaj więcejPomyślne zdobycie tych certyfikatów ISO dobitnie pokazuje, że nasze praktyki biznesowe są zgodne z globalnymi normami bezpieczeństwa, zapewniając najlepszą ochronę prywatności danych wszystkich współpracujących z nami organizacji i osób.
Nasze stanowisko w sprawie cyberbezpieczeństwa
{{positionList[0].title}}
Firma Mindray jest wiodącym producentem urządzeń medycznych i rozwiązań, który postawił sobie za cel zaoferowanie wszystkim ludziom lepszej opieki medycznej. Od momentu założenia w 1991 r. firma Mindray koncentrowała się na trzech głównych liniach produktowych: monitorowanie pacjenta i podtrzymywanie życia (PMLS), obrazowanie medyczne (MIS) i diagnostyka in vitro (IVD). Główna siedziba firmy jest zlokalizowana w Shenzhen w Chinach. Firma ma 42 międzynarodowe spółki zależne i oddziały w 32 krajach, zatrudniając około 7500 pracowników na całym świecie, wspierając różnych dostawców usług medycznych i tworząc wartość dla społeczeństwa. O zaangażowaniu firmy w innowacje świadczy 12 globalnych centrów badawczo-rozwojowych oraz inwestycje w badania i rozwój na poziomie 10% rocznych przychodów.
{{positionList[1].title}}
Nasze zasady i wartości dotyczące bezpieczeństwa produktów mają źródło w niezachwianym zaangażowaniu w ochronę bezpieczeństwa pacjentów, wzmacnianie integralności naszych urządzeń medycznych i ochronę danych wrażliwych. Kierując się międzynarodowymi standardami i najlepszymi praktykami, postawiliśmy sobie za cel przejrzystość, odpowiedzialność i nieustanne doskonalenie. Koncentrujemy się na stworzeniu bezpieczniejszego i bardziej niezawodnego otoczenia opieki zdrowotnej, w którym łączą się najnowocześniejsze technologie i bezkompromisowe bezpieczeństwo, aby zapewnić ochronę i wzmacniać tych, którym służymy.
Wdrażając zasady bezpieczeństwa i prywatności w fazie projektowania naszych produktów, dokładamy starań, aby zapewnić cyberbezpieczeństwo i prywatność na poziomie koncepcji naszych urządzeń medycznych. Tylko w ten sposób możemy osiągnąć niezawodność podstawowych usług medycznych i nienaruszalność poufności danych.
Zaufanie buduje się nie przez pokazywanie co robimy, ale jak to robimy. Przejrzyste podejście Mindray do cyberbezpieczeństwa zapewnia naszym klientom pełny dostęp do informacji o stosowanych przez nas praktykach bezpieczeństwa. Dzięki tej przejrzystości i otwartości naszych praktyk cyberbezpieczeństwa, nasi klienci zyskują pewność, której potrzebują.
Cheng Minghe
Wiceprzewodniczący, członek rady ds. zgodności z przepisami Mindray
Staramy się, aby bezpieczeństwo było zintegrowane ze strukturą każdego produkowanego przez nas urządzenia, co zapewnia ich niezawodność i odporność na ataki w najważniejszych obszarach opieki zdrowotnej. Cyberbezpieczeństwo to nie tylko funkcja. To podstawowa zasada, według której projektujemy, rozwijamy i produkujemy każde urządzenie medyczne.
Li Zaiwen
Starszy wiceprezes, członek rady ds. zgodności z przepisami Mindray
Wróć do Prywatność w fazie projektowania
{{positionList[2].title}}
Zdajemy sobie sprawę, że wysokie bezpieczeństwo informacji przedsiębiorstwa ma ogromne znaczenie dla rozwoju i utrzymania zaufania do nas i naszych urządzeń. Tak solidne podstawy można osiągnąć wyłącznie dzięki doświadczonym i przeszkolonym pracownikom, którzy projektują oraz dostarczają bezpieczne i niezawodne usługi i produkty.
Firma: obrona strategiczna
Utrzymywanie niezawodnych zabezpieczeń przedsiębiorstwa przez wdrożenie kompleksowych planów reagowania i niezwykle odpornej infrastruktury. Zapewniają one stabilność operacyjną oraz pozwalają na stałe usprawnianie ochrony systemów wewnętrznych i danych.
Ludzie: doskonalenie osób odpowiedzialnych za bezpieczeństwo
Dzięki szeroko zakrojonym szkoleniom w zakresie praktyk bezpieczeństwa i norm zachowania poufności informacji nasi pracownicy rozwijają naszą kulturę bezpieczeństwa.
Produkt: bezpieczeństwo na poziomie koncepcji
Wyposażenie wszystkich urządzeń medycznych w silne zabezpieczenia już na etapie projektowania oraz budowanie zaufania naszych klientów i dostarczanie im niezawodnych rozwiązań.
{{positionList[3].title}}
Mamy świadomość ogromnego wpływu i znaczenia przestrzegania międzynarodowych norm i certyfikacji na zapewnienie najwyższych poziomów jakości, bezpieczeństwa i cyberbezpieczeństwa produktów.
Firma Mindray przestrzega między innymi następujących obowiązujących norm i wymagań: TIR57, ISO 14971, ISO 31000, IEC/TR 80001-2-2, wymagania i wytyczne FDA stosowane przed wprowadzeniem produktu do obrotu i po nim, MDCG 2019-16, zasady i praktyki IMDRF, europejskie ogólne rozporządzenie o ochronie danych (RODO), amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) lub chińska ustawa o ochronie danych osobowych (PIPL).
{{positionList[4].title}}
Uważamy, że cyberbezpieczeństwo w branży opieki zdrowotnej i urządzeń jest wspólnym obowiązkiem. Istota ekosystemu współpracujących ze sobą urządzeń medycznych niejako wymusza na producentach i dostawcach usług medycznych konieczność wypracowania odpowiednich praktyk cyberbezpieczeństwa.
Model cyberbezpieczeństwa produktów
Cyberbezpieczeństwo produktów firmy Mindray jest nierozłącznie związane z modelem cyberbezpieczeństwa produktów firmy Mindray. Są to wewnętrznie opracowane ramy bezpieczeństwa mające zapewnić ochronę naszych urządzeń medycznych, a także pokazywać wszystkim zespołom i oddziałom firmy Mindray jak wdrażać wytyczne w zakresie cyberbezpieczeństwa. Nasz model opiera się na zasadach NIST Cybersecurity Framework (CSF), które obejmują sześć podstawowych elementów: zarządzanie, identyfikowanie, ochrona, wykrywanie, reagowanie i odzyskiwanie. Opierając się na tych uznanych podstawach, dostosowaliśmy nasz model do wyzwań i wymagań branży urządzeń medycznych.
Model cyberbezpieczeństwa produktów firmy Mindray
{{item.title}}
{{data}}
{{data.title}}
{{modelList[0].title}}
Struktura zarządzania i zasady
Usprawniając proces podejmowania strategicznych decyzji i wdrażania zasad, ustanowiliśmy wyraźne zakresy odpowiedzialności i kanały komunikacyjne.
Ramy zarządzania ryzykiem
Solidne ramy zarządzania ryzykiem to fundament strategii cyberbezpieczeństwa firmy Mindray. Umożliwiają nam szybkie identyfikowanie, ocenę i eliminowanie potencjalnych luk w zabezpieczeniach w sposób systemowy w całym cyklu życia produktu.
Monitorowanie zgodności z przepisami i wymogami wewnętrznymi
Monitorowanie zgodności z przepisami jest ważnym elementem naszej strategii cyberbezpieczeństwa. Pozwala nam na dopasowanie wewnętrznych standardów do wymogów określonych w przepisach i praktyk powszechnie stosowanych w branży.
{{modelList[1].title}}
Bezpieczeństwo w fazie projektowania
Bezpieczeństwo w fazie projektowania stanowi podstawę istnienia firmy Mindray, która zapewnia wdrażanie zasad i wymagań bezpieczeństwa już na etapie projektowania produktu.
Praktyki bezpiecznego programowania i kontrola jakości
Opierając się na zasadach bezpieczeństwa w fazie projektowania, opracowaliśmy kompleksowe i systemowe standardy bezpiecznego programowania. W tym celu korzystaliśmy z norm Międzynarodowej Komisji Elektrotechnicznej (IEC), najlepszych praktyk z branży, a także naszego ogromnego doświadczenia w rozwoju oprogramowania.
W naszych standardach bezpiecznego programowania zastosowaliśmy też rozwiązania z norm kontroli procesów i zapewniania jakości.
Dokładamy też wszelkich starań, aby zapewnić naszym programistom otoczenie i warunki sprzyjające ciągłemu doskonaleniu i wymianie wiedzy.
Ocena bezpieczeństwa i testowanie
Firma Mindray wdrożyła procedury oceny bezpieczeństwa i testowania, aby umożliwić identyfikację potencjalnych luk w zabezpieczeniach i ich wyeliminowanie, a także testowanie i weryfikowanie wdrażanych zabezpieczeń.
{{modelList[2].title}}
Kontrola dostępu
Nasze urządzenia medyczne są wyposażone w mechanizm kontroli dostępu opartej na rolach (RBAC), który przyznaje poszczególnym użytkownikom uprawnienia na podstawie ich roli w organizacji. Mechanizm blokowania, automatyczne wylogowywanie, zarządzanie hasłami, uwierzytelnianie sieci Wi-Fi, scentralizowane i bezpieczne uwierzytelnianie, kontrola zmian w konfiguracji to jedynie kilka dodatkowych zabezpieczeń, które zapewniają bezpieczeństwo dostępu.
Zwiększanie odporności systemu na włamania i kontrola konfiguracji
Zwiększanie odporności systemu na włamania to nasze kolejne działanie mające na celu zmniejszenie powierzchni ataku i w rezultacie zabezpieczenie naszych urządzeń. Najważniejsze elementy praktyk zwiększania odporności systemu firmy Mindray, które różnią się w zależności od modelu, obejmują między innymi wytyczne zwiększania odporności systemu operacyjnego, białe listy aplikacji i procesów, programy antywirusowe i zabezpieczające przed oprogramowaniem złośliwym, zaporę sieciową, wyłączanie niepotrzebnych funkcji stwarzających zagrożenie, tryb kiosku, kontrolę aktualizacji systemu operacyjnego i oprogramowania.
Przejrzysta wymiana informacji
Dokładamy wszelkich starań, aby zachować przejrzystość zabezpieczeń stosowanych w naszych urządzeniach. Nasze najważniejsze działania mające na celu poprawę przejrzystości to między innymi: dokumentacja techniczna cyberbezpieczeństwa, instrukcje obsługi produktów, oświadczenie producenta dotyczące bezpieczeństwa urządzeń medycznych (MDS2), struktura produktu oprogramowania (SBOM), pomoc w planach wdrożenia.
{{modelList[3].title}}
Luki w zabezpieczeniach wykryte po wprowadzeniu na rynek i zarządzanie poprawkami
Produkty firmy Mindray wykorzystują systemy operacyjne innych firm, takie jak Microsoft Windows i Linux. Aby zapewnić bezpieczeństwo tych systemów operacyjnych, opracowaliśmy kompleksową strategię zarządzania poprawkami, która umożliwia nam stałe monitorowanie potencjalnych luk w zabezpieczeniach, oceny ich wpływu na nasze urządzenia i wdrażania poprawek w celu wyeliminowania tych problemów.
Koniec okresu eksploatacji i wsparcie przy wycofywaniu z eksploatacji
Wysyłamy naszym klientom szczegółowe pisma z informacjami o procedurach postępowania w związku ze zbliżającym się końcem okresu eksploatacji produktów.
Udzielamy wsparcia i umożliwiamy dostawcom usług medycznych bezpieczne wycofanie urządzeń z eksploatacji, udostępniając im naszych doświadczonych pracowników lub przekazując dokumentację z zakresu najlepszych praktyk bezpiecznej utylizacji, np. instrukcje trwałego wymazywania danych.
Zarządzanie zdarzeniami
Reagowanie na zdarzenia i pomoc techniczna
Firma Mindray utworzyła specjalne zespoły nadzorujące proces reagowania na zdarzenia oraz stale monitorujące i badające występujące zdarzenia, które mogą wpływać negatywnie na nasze urządzenia. Po wykryciu lub zgłoszeniu zdarzenia związanego z bezpieczeństwem zespoły, współpracując z poszczególnymi jednostkami biznesowymi, oceniają ryzyko, opracowują plany reagowania i wdrażają odpowiednie rozwiązania. Opracowaliśmy „Wytyczne reagowania na zdarzenia związane z cyberbezpieczeństwem”, aby wprowadzić standardowe i ujednolicone procedury w różnych podmiotach. W razie wystąpienia zagrożenia wymagającego zgłoszenia do odpowiednich organów nadzoru współpracujemy ściśle z odpowiednimi organami, aby szybko i dokładnie przekazywać im wymagane informacje. Przez cały czas trwania procedury utrzymujemy stały kontakt z naszymi klientami. Staramy się wspólnie szybko ocenić sytuację i wdrożyć niezbędne środki, aby zminimalizować negatywne skutki i zapewnić bezpieczeństwo urządzeń.
Urządzenia medyczne firmy Mindray są wyposażone w funkcje zapewniające ciągłość działania nawet w przypadku wykrycia zdarzeń związanych z cyberbezpieczeństwem. W zależności od możliwości, niektóre urządzenia wykorzystują mechanizmy, takie jak uzupełnianie i synchronizacja danych, aby zapewnić bezpieczeństwo najważniejszych danych pacjentów w przypadku awarii sieci. Część urządzeń jest też wyposażona w mechanizm dzielący sieć na osobne warstwy, który może izolować zagrożenia występujące na urządzeniu od sieci szpitalnej. Dodatkowo zastosowanie środowiska sieciowego z nadmiarowymi sieciami przewodowymi i bezprzewodowymi pozwala na bezproblemową pracę urządzenia, nawet jeżeli jedna z sieci ulegnie awarii.
Ochrona danych
Prywatność w fazie projektowania
Firma Mindray przeprowadziła analizę porównawczą swoich procesów względem norm międzynarodowych i najlepszych praktyk, a następnie na podstawie jej wyników wdrożyła system zarządzania zgodnością z przepisami dotyczącymi bezpieczeństwa informacji i ochrony poufności danych.
Jej podstawowe zasady „Prywatność w fazie projektowania” i Domyślna ochrona danych” stały się częścią procesu projektowania produktów. Te zasady są wdrażane już na etapie koncepcyjnym i planowania rozwoju produktów przez zastosowanie podstawowych wytycznych w zakresie uprawnień, rejestrowania, szyfrowania oraz deidentyfikacji/anonimizacji itd.
Ocena skutków przetwarzania w zakresie danych osobowych
W ramach procesu rozwoju produktów wprowadziliśmy „Ocenę skutków przetwarzania w zakresie danych osobowych” (PIA), aby zapewnić wdrożenie odpowiednich środków kontroli zgodnie z obowiązującymi przepisami.
Opublikowaliśmy też szczegółową dokumentację techniczną RODO, która zawiera informacje o ładzie korporacyjnym, kontrolach wewnętrznych i mechanizmach przetwarzania danych osobowych stosowanych w firmie Mindray. Przedstawiają one nasze zaangażowanie w utrzymanie wysokich standardów bezpieczeństwa i prywatności danych.
Szyfrowanie danych
Firma Mindray wykorzystuje kompleksowe metody szyfrowania zapewniające bezpieczeństwo danych przesyłanych przez sieć, jak i przechowywanych w pamięci masowej. Każda linia produktów firmy Mindray wykorzystuje protokoły i metody dobrane do konstrukcji danego urządzenia i potrzeb biznesowych. Zapewnia to właściwą ochronę wszystkich danych.
Obsługa danych podczas konserwacji
Firma Mindray zapewnia dostawcom usług medycznych kompleksowe wytyczne w zakresie bezpiecznego zarządzania danymi w trakcie konserwacji. Równocześnie nasz personel stosuje środki kontroli dostępu, kierując się zasadą minimalnego uprzywilejowania.
