ГОСТ Р 56839—2015
7 МЭК 80001-1:2010, подраздел 4.4. Последовательность шагов
7.1 Общие положения
МЕНЕДЖМЕНТ РИСКА, основанный на 10 шагах, описанный в данном раздело, является ите
ративным ПРОЦЕССОМ, который нельзя завершить за одну итерацию. По ряду соображений, может
быть необходимо и уместно вернуться к началу цикла и повторить любое действие в связи с результа
тами оценивания. Необходимо понимать, что повторение шагов поощряется на протяжении всех стадий
ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА и является нормой.
Эти 10 шагов считаются универсально применимым ко всем изменениям, большим и малым. Ко
манда. выполняющая эти шаги, может применять их пропорционально размеру и эффекту изменения.
Внесение изменения в существующую МЕДИЦИНСКУЮ ИТ СЕТЬ, например, может потребовать лишь
небольшое обновление уже доступной информации по МЕНЕДЖМЕНТУ РИСКА.
7.2 Применение требований, представленных в 4.4.1. Документальное оформление всех
элементов МЕНЕДЖМЕНТА РИСКА
Для каждой МЕДИЦИНСКОЙ ИТ СЕТИ создать и вести таблицу или базу данных, в которой указы
вается каждая ОПАСНАЯ СИТУАЦИЯ, которая может возникнуть во время работы сети, а также связан
ные с ней причиныУвероятности и НЕПРЕДНАМЕРЕННЫЕ ПОСЛЕДСТВИЯ/уровень тяжести. Для це
лей настоящего стандарта, данная таблица будет именоваться как реестр ОЦЕНКИ РИСКА. В конечном
реестре будут представлены сводные данные по индивидуальным и совокупным РИСКАМ, связанным с
конкретной МЕДИЦИНСКОЙ ИТ СЕТЬЮ. Данный реестр будет разработан, основываясь на шагах,
описанных ниже, и станет развивающимся документом, изменяющимся вместе с изменениями в сети
или в результате КОНТРОЛЯ, осуществляющегося после запуска в эксплуатацию.
Для крупных сетей реестр может быть довольно большим. Также, необходимо учесть, что одна
причина может повлечь множество ОПАСНЫХ СИТУАЦИЙ, или множество причин могут повлечь одну
ОПАСНУЮ СИТУАЦИЮ. Поэтому следует следить за форматированием реестра ОЦЕНКИ РИСКА. На
базу данных может возлагаться управление связью между ОПАСНЫМИ СИТУАЦИЯМИ и причинам.
7.3 Примечание к ОЦЕНКЕ РИСКА
В 4.4.2 МЭК 80001-1:2010 представлено следующее требование. «Для каждой идентифициро
ванной ОПАСНОСТИ, ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ должна оценить, связанные с ней РИСКИ».
И хотя данный шаг представлен всего лишь одним предложением в МЭК 80001-1:2010. он представ ляет
из себя многошаговый ПРОЦЕСС, требующий составление плана МЕНЕДЖМЕНТА РИСКА для
МЕДИЦИНСКОЙ ИТ СЕТИ и установление процедуры АНАЛИЗА РИСКА перед тем. как он может быть
выполнен. Шаги 2—4. описанные ниже, применимы к этому действию.
В плане МЕНЕДЖМЕНТА РИСКА должны быть определены мера и критерии допустимости РИ
СКА (см. 4.3.5 МЭК 80001-1:2010), а также в него должны быть включены меры вероятности и тяжести
риска. В приложении D представлена информации о мерах, использующихся в примерах данного раз
дела.
7.4 10-шаговый ПРОЦЕСС
7.4.1 ШАГ 1. Идентификация ОПАСНОСТЕЙ и ОПАСНЫХ СИТУАЦИЙ
Первым шагом МЕНЕДЖМЕНТА РИСКА является идентификация ОПАСНОСТЕЙ. При анализе
сверху вниз следует начинать с ОПАСНОСТИ, а затем выявить пути, которые могут вызвать ОПАСНУЮ
СИТУАЦИЮ (то есть определить ее причины). При восходящем анализе следует выявить все пути,
которые могут привести к какому либо отказу (то есть причины), затем определить, могут ли эти виды
отказов повлечь за собой ОПАСНУЮ СИТУАЦИЮ. В обоих случаях в первую очередь идентифицируют ся
ОПАСНОСТИ, именно поэтому это и является содержанием первого шага МЕНЕДЖМЕНТА РИСКА,
согласно МЭК 80001-1.
Рекомендуется применять оба метода (нисходящий и восходящий), чтобы получить полный спи
сок ОПАСНОСТЕЙ и ОПАСНЫХ СИТУАЦИЙ, связанных с МЕДИЦИНСКОЙ ИТ СЕТЬЮ.
Анализ методом дерева отказов (FTA) является типичным нисходящим методом, а анализ типов и
последствий отказов (FMEA) является типичным восходящим методом.
Потеря работоспособности и более конкретные ее вариации являются ОПАСНОСТЯМИ, которые
следует учитывать. Для идентификации ОПАСНОСТЕЙ, связанных с анализируемой МЕДИЦИНСКОЙ
ИТ СЕТЬЮ, необходимо использовать список в приложении А и вопросы, представленные в приложе нии
В.
13