Organisaation on pidettävä yllä luetteloa tärkeimmistä prosesseista, jotka liittyvät QMS:ään, tuotteiden/palvelujen toimittamiseen ja toiminnan ylläpitoon. Kullekin prosessille nimetään omistaja, joka on vastuussa prosessiin liittyvän dokumentaation täydentämisestä ja mahdollisista muista prosessiin suoraan liittyvistä laatutoimista.

Prosessien dokumentoinnin on sisällettävä vähintään seuraavat tiedot:

• prosessin tarkoitus
• linkki yksityiskohtaisempaan piirustukseen/kuvaukseen prosessin kulusta
• vaaditut syötteet ja odotetut tuotokset
• liittyvät resurssit (esim. tietojärjestelmät, tietovarannot ja -aineistot, yksiköt, toimipaikat, yhteistyökumppanit ja muut resurssit)
• prosessin toiminnan ja tehokkuuden seurantaan käytettävät mittarit
• muut tärkeät prosessiin liittyvät toimet (esim. analysoidut riskit, suunnitellut / toteutetut parannukset tai muutokset)

Organisaation olisi laadittava ja pantava täytäntöön järjestelmällinen lähestymistapa kaikkien toimintaprosessien suunnitteluun ja valvontaan, joita tarvitaan liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) vaatimusten täyttämiseksi. Tähän sisältyy kriteerien asettaminen prosesseille ja valvonnan soveltaminen sen varmistamiseksi, että ne suoritetaan suunnitellusti.

Organisaation tulisi luoda ja ylläpitää prosessi, jolla hallitaan sen toimintaprosesseihin suunniteltuja muutoksia ja arvioidaan tahattomien muutosten seurauksia. Tähän prosessiin olisi kuuluttava toiminnan jatkuvuuden hallintajärjestelmään (BCMS) kohdistuvien mahdollisten vaikutusten arviointi ja tarvittavien toimien toteuttaminen mahdollisten kielteisten vaikutusten lieventämiseksi.

Organisaatio on määritellyt kriteerit ja menetelmät (esim. valvontatoimet, mittaukset tai muut prosessiin liittyvät mittarit), joita tarvitaan sen pääprosessien tehokkaan toiminnan ja valvonnan varmistamiseksi.

Näitä menetelmiä ja kriteerejä sovelletaan aktiivisesti, jotta voidaan varmistua siitä, että prosessit toteutetaan suunnitellusti. Organisaatio dokumentoi säännöllisesti toteutetut valvonta- sekä mittaustoimet, jotta prosessin seurannasta on dokumentoitua tietoa.

Organisaation olisi luotava ja pantava täytäntöön prosessi potilastietojen säännölliseksi tarkistamiseksi. Tällä prosessilla varmistetaan, että terveydenhuoltohenkilöstön merkinnät ovat voimassa olevien säännösten mukaisia. Tarkistuksessa olisi tarkistettava tietojen oikeellisuus ja täydellisyys ja määriteltävä toimenpiteet, joihin on ryhdyttävä, jos poikkeamia havaitaan.

Organisaation on laadittava virallinen ohjelma tekoälyn hallintajärjestelmänsä (AIMS) suorituskyvyn ja tehokkuuden seuraamiseksi, mittaamiseksi, analysoimiseksi ja arvioimiseksi.

Tämän ohjelman toteuttamiseksi organisaation on määriteltävä ja dokumentoitava:

• Mitä on seurattava ja mitattava (esim. tekoälyjärjestelmien suorituskyky, riskienhallinnan tehokkuus, edistyminen tekoälytavoitteiden saavuttamisessa).
• Seurannassa, mittauksessa, analysoinnissa ja arvioinnissa käytettävät menetelmät, joilla varmistetaan, että tulokset ovat päteviä ja luotettavia.
• Näiden toimien ajoitus, mukaan lukien se, kuinka usein seuranta ja mittaaminen suoritetaan ja milloin tulokset analysoidaan ja arvioidaan virallisesti.

Organisaation on säilytettävä dokumentoitua tietoa (tallenteita) kaikista näiden toimien tuloksista todisteena tekoälyn hallintajärjestelmän suorituskyvystä ja tehokkuudesta.

Organisaation on otettava käyttöön ja ylläpidettävä virallista prosessia, jolla tunnistetaan, hallitaan ja korjataan kaikki poikkeamat tekoälyn hallintajärjestelmässä (AIMS).

Kun poikkeama tunnistetaan, prosessin on varmistettava, että organisaatio ryhtyy seuraaviin toimiin:

• reagoi poikkeamaan ryhtymällä välittömiin toimiin poikkeaman hallitsemiseksi ja korjaamiseksi sekä sen seurausten käsittelemiseksi.
• Arvioidaan jatkotoimien tarve tekemällä perimmäisten syiden analyysi, jotta ymmärretään, miksi poikkeama ilmeni ja nähdään, onko vastaavia ongelmia olemassa tai voisiko niitä ilmetä muualla.
• Toteuttaa tarvittavat korjaavat toimet perimmäisen syyn poistamiseksi ja ongelman toistumisen estämiseksi.
• Arvioidaan toteutettujen korjaavien toimien tehokkuus sen varmistamiseksi, että korjaus onnistui.
• Päivitetään tarvittaessa itse tekoälyn hallintajärjestelmää havaintojen perusteella.

Organisaation on säilytettävä jokaisesta poikkeamasta dokumentoitua tietoa (kirjanpitoa), josta käy yksityiskohtaisesti ilmi, mitä tapahtui, mitä toimia toteutettiin ja mitä tuloksia korjaavilla toimilla saavutettiin.

Organisaation on suunniteltava, laadittava ja ylläpidettävä muodollinen sisäinen tarkastusohjelma, jolla säännellään sitä, miten se tarkastaa tekoälyn hallintajärjestelmänsä (AIMS).

Tässä ohjelmassa on määriteltävä auditointien yleinen kehys, mukaan lukien:

• auditointien suorittamistiheys ja -menetelmät.
• vastuualueet, suunnitteluvaatimukset ja raportointimenettelyt.
• miten eri prosessien merkitystä ja aiempien auditointien tuloksia käytetään tulevien auditointien suunnittelussa.

Organisaation on kunkin ohjelman mukaisesti suoritetun yksittäisen auditoinnin osalta:

• Määriteltävä auditoinnin tavoitteet, laajuus ja kriteerit.
• valittava tarkastajat siten, että varmistetaan heidän objektiivisuutensa ja puolueettomuutensa (esim. he eivät voi tarkastaa omaa työtään).
• Varmistettava, että auditoinnin tulokset raportoidaan asianomaiselle johdolle.

Organisaation on säilytettävä dokumentoitua tietoa todisteena sekä itse auditointiohjelman toteuttamisesta että kunkin suoritetun auditoinnin tuloksista.

Organisaation on otettava käyttöön ja ylläpidettävä virallista prosessia tekoälyn hallintajärjestelmänsä (AIMS) jatkuvaa parantamista varten.

Prosessin tavoitteena on parantaa ennakoivasti ja järjestelmällisesti hallintajärjestelmän yleistä soveltuvuutta, riittävyyttä ja tehokkuutta ajan myötä. Parantamistoimien olisi perustuttava muiden tekoälyn hallintajärjestelmänprosessien tuloksiin, mukaan lukien:

• Seuranta- ja mittaustoimien tulokset.
• sisäisten ja ulkoisten auditointien tulokset.
• ylimmän johdon katselmuksissa havaitut päätökset ja mahdollisuudet.
• vaatimustenvastaisuuksien analysointi ja korjaavien toimien tehokkuus.

Organisaation on varmistettava, että teknisten turvatestien tulokset dokumentoidaan järjestelmällisesti, niiden kriittisyys arvioidaan ja niitä käytetään turvatarkastusten, -käytäntöjen ja -menettelyjen parantamiseen. Testaustuloksista johtuvat jäännösriskit on arvioitava virallisesti ja asianmukaisten riskinomistajien on hyväksyttävä ne.

• Dokumentoidaan teknisten testien, kuten haavoittuvuusskannausten, tunkeutumistestien, konfiguraatiotarkastelujen ja muiden turvallisuusarviointien tulokset.
• Arvioi ja kirjaa kunkin havainnon kriittisyys, mukaan lukien sen mahdollinen vaikutus luottamuksellisuuteen, eheyteen, aitouteen tai saatavuuteen.
• Määrittele ja toteuta korjaavat tai kompensoivat toimenpiteet, jos havainnot osoittavat heikkouksia tai kielteisiä vaikutuksia.
• Arvioidaan, edellyttävätkö testitulokset turvallisuuspolitiikkojen, -menettelyjen tai valvonnan tehokkuuden arviointimenetelmien päivittämistä.
• Dokumentoidaan tehdyt päätökset, mukaan lukien perustelut, jos korjaavia toimia tai toimintatapojen päivitystä ei tarvita.
• Tunnistetaan ja dokumentoidaan kaikki jäljellä olevat riskit, jotka jäävät jäljelle korjaavien toimenpiteiden jälkeen.
• Varmistetaan, että nimetyt riskinomistajat hyväksyvät jäännösriskit virallisesti ja että niistä raportoidaan asianmukaisesti asianomaisille hallintoelimille.

Tällä prosessilla varmistetaan, että teknisen testauksen tulokset dokumentoidaan asianmukaisesti, että niitä arvioidaan, että niitä käsitellään tarvittaessa ja että ne sisällytetään organisaation turvallisuushallinnon jatkuvaan parantamiseen.

Organisaation on laadittava jäsennelty lähestymistapa teknisten turvatestien suorittamiseksi tietyin väliajoin, niiden tuloksena syntyvän dokumentaation tarkastelemiseksi ja tulosten raportoimiseksi asiaankuuluvalle johdolle.

• Määrittele suunnitellut aikavälit teknisten turvatestien suorittamiselle järjestelmän kriittisyyden, riskialttiuden ja sääntelyvaatimusten perusteella.
• Käynnistetään ylimääräisiä testejä merkittävien järjestelmämuutosten, merkittävien vaaratilanteiden, arkkitehtuurimuutosten tai uhkakuvassa tapahtuneiden merkittävien muutosten jälkeen.
• Varmistetaan, että nimetty pätevä henkilöstö, joka on riippumaton järjestelmän päivittäisestä toiminnasta vastaavista henkilöistä, tarkastaa testausasiakirjat suunnitelluin väliajoin, jos se on tarpeen.
• Tarkistetaan tarkistuksen aikana, että havainnot on arvioitu asianmukaisesti, korjaavia toimia seurataan ja jäännösriskit dokumentoidaan.
• Raportoi tiivistetyt testitulokset, suuntaukset, tärkeimmät havainnot ja jäljellä olevat riskit asianomaisille johtoelimille.
• Dokumentoidaan tarkastusten tulokset ja johdon raportointitoimet jäljitettävyyden ja vastuuvelvollisuuden varmistamiseksi.

Näin varmistetaan, että tekninen testaus suoritetaan järjestelmällisesti, sitä tarkastellaan riippumattomasti ja että se viedään asianmukaisesti johdolle valvontaa ja hallinnointia varten.

Organisaation olisi tunnistettava, määriteltävä ja hallittava kaikki tarvittavat prosessit ja niiden keskinäiset riippuvuudet liiketoiminnan jatkuvuuden hallintajärjestelmässä (BCMS). Tähän sisältyy selkeiden panosten, tuotosten, vastuiden ja valvonnan määrittäminen kullekin prosessille, jotta varmistetaan tehokas toiminta ja integrointi koko järjestelmässä.

Tietoverkkoturvallisuutta tukevia organisaatioprosesseja ovat esimerkiksi seuraavat:

• Häiriötilanteiden hallinta: Organisaatiolla on suunnitelma häiriötilanteiden hallintaa ja niihin reagoimista varten.
• Riskienhallinta: Organisaatiolla on suunnitelma kyberturvallisuusriskien tunnistamiseksi, analysoimiseksi, arvioimiseksi ja hoitamiseksi, ja suunnitelmaa käytetään riskienhallintaprosessin mukaisesti.
• Haavoittuvuuksien hallinta: Organisaatiolla on suunnitelma teknisten haavoittuvuuksien hallitsemiseksi. Suunnitelma sisältää ainakin teknisten haavoittuvuuksien tunnistamisen, priorisoinnin, korjaamisen, todentamisen ja dokumentoinnin.
• Vaatimustenmukaisuuden hallinta: Organisaatiolla on suunnitelma tämän standardin vaatimusten (ja muiden asiaankuuluvien oikeudellisten ja sääntelyvaatimusten) noudattamisen hallitsemiseksi.
• Henkilöstön hallinta: Organisaatiolla on suunnitelma henkilöstön elinkaaren kyberturvallisuusnäkökohtien hallitsemiseksi (esim. palvelukseen ottaminen, koulutus, irtisanoutuminen).
• Omaisuuden hallinta: Organisaatiolla on suunnitelma organisaation omistamien IT-varojen kyberturvallisuusnäkökohtien hallitsemiseksi.
• Toimittajien hallinta: Organisaatiolla on suunnitelma ulkoisilta toimittajilta ostettujen tuotteiden ja palvelujen kyberturvallisuusnäkökohtien hallitsemiseksi.
• Kolmannen osapuolen riskienhallinta: Organisaatiolla on suunnitelma kolmansiin osapuoliin liittyvien riskien hallitsemiseksi.

Organisaation on säännöllisesti tarkistettava ja päivitettävä toimintojaan ja muutostenhallintapolitiikkojaan ja -menettelyjään varmistaakseen, että kaikki turvallisuuteen liittyvät muutokset eivät lisää riskejä tai häiritse liiketoiminnan jatkuvuutta. Tarkistaminen olisi tehtävä vähintään kerran vuodessa tai merkittävien muutosten yhteydessä.

Organisaation on laadittava virallinen menettely Tanskan hätätilaviraston (Beredskabsstyrelsen) käskyjen vastaanottamiseksi, vahvistamiseksi ja toteuttamiseksi.Tässä menettelyssä on määriteltävä turvalliset kanavat tällaisten käskyjen vastaanottamiseksi, vaiheet käskyjen aitouden tarkistamiseksi ja sisäinen komentorakenne käskyjen toteuttamiseksi. Siinä on määriteltävä, kenellä on valtuudet ohjata resursseja uudelleen virallisen määräyksen perusteella.

Organisaatiolla on oltava dokumentoitu tekninen suunnitelma ja tarvittavat työkalut verkkokapasiteetin hallintaa ja liikenteen priorisointia varten.Tähän sisältyy valmiiksi määritetyt palvelunlaatukäytännöt (QoS), liikenteen muotoilusäännöt ja mekanismit tiettyjen palvelujen tai liikennevirtojen keskeyttämiseksi. Suunnitelmassa on kuvattava, miten nämä tekniset valvontatoimet voidaan aktivoida, muuttaa ja poistaa käytöstä virallisen määräyksen perusteella.

Organisaation on otettava käyttöön virallinen prosessi, jonka avulla seurataan ja analysoidaan jatkuvasti ulkoisia turvallisuusohjeita ja -muutoksia.

Tähän prosessiin on kuuluttava seuraavien asiakirjojen säännöllinen tarkastelu

• kansallisen viranomaisen julkaisemat turvallisuusmenetelmät ja -politiikat
• viimeisimmät turvallisuussuuntaukset, uhkatiedustelu ja teknologinen kehitys.
• esimerkkejä alan tunnustetuista hyvistä käytännöistä.
• asiaankuuluvat kansainväliset standardit

Organisaation on dokumentoitava tarkempi kulku jokaisesta laadunhallintajärjestelmään liittyvästä prosessista, mikä kuvaa toimintojen peräkkäistä järjestystä prosessin sisällä.

Prosessikuvausten tulisi osoittaa myös eri prosessien vuorovaikutukset, ja niiden tulisi olla riittävän yksityiskohtaisia, jotta organisaatio voi käyttää niitä seurannassa ja luottaa siihen, että prosessit suoritetaan suunnitellusti.

Organisaation on jatkuvasti arvioitava prosessiensa soveltuvuutta varmistaakseen, että ne saavuttavat halutut tulokset. Kun prosesseihin katsotaan tarvittavan merkittäviä muutoksia, ne dokumentoidaan laadunhallintajärjestelmään.

Järjestelmällisessä laatutyössä kaikki merkittävät muutokset prosesseihin toteutetaan hallitusti. Muutosten vaikutukset arvioidaan ensin, niille osoitetaan omistajuus ja niiden toteutusta seurataan.

Organisaatio dokumentoi asiaankuuluvat ulkopuolelta hankitut prosessit, tuotteet ja palvelut samalla tavalla kuin muutkin laadunhallintajärjestelmän osat. Organisaation on samalla tavoin varmistettava, että nämä prosessit ovat vaatimustenmukaisia.

Ulkopuolelta hankitut prosessit, tuotteet ja palvelut ovat merkityksellisiä, kun:

• koko prosessin (tai osan prosessista) tarjoaa ulkopuolinen palveluntarjoaja organisaation päätöksen seurauksena
• ulkopuolisen palveluntarjoajan tuote/palvelu on tarkoitettu sisällytettäväksi organisaation omiin tuotteisiin ja palveluihin
• ulkoiset palveluntarjoajat toimittavat tuotteen/palvelun suoraan asiakkaille

Organisaatio on määritellyt yleiset kriteerit ulkoisten palveluntarjoajien arviointia, valintaa, suorituskyvyn seurantaa ja uudelleenarviointia varten sen perusteella, miten ne kykenevät tarjoamaan prosessit tai tuotteet ja palvelut vaatimusten mukaisesti.

Organisaatio dokumentoi nämä ulkopuolelta hankitut prosessit, tuotteet ja palvelut laadunhallintajärjestelmään ja kirjaa kaikki arviointitoimet ja tarvittavat toimenpiteet dokumentointikortteihin.

Organisaation on määriteltävä toimet sellaisten tuotosten tunnistamiseksi ja valvomiseksi, jotka eivät ole vaatimusten mukaisia, jotta estetään niiden tahaton käyttö tai toimittaminen. Organisaatio ryhtyy asianmukaisiin toimiin, jotka perustuvat vaatimustenvastaisuuden luonteeseen ja sen vaikutukseen tuotteiden / palvelujen vaatimustenmukaisuuteen.

Kaikki vaatimustenvastaiset tuotokset käsitellään yhdellä tai useammalla seuraavista tavoista:

• korjaus
• erottelu, eristäminen, palauttaminen tai tuotteiden ja palvelujen tarjonnan keskeyttäminen
• tiedottaminen asiakkaalle
• luvan hankkiminen käyttöoikeussopimuksen mukaista hyväksyntää varten

Vaatimustenmukaisuus on todennettava, kun vaatimustenvastaiset tuotokset korjataan.

Organisaatio ylläpitää dokumentaatiota vaatimustenvastaisista tuotoksista, toteutetuista toimista, saaduista myönnytyksistä ja viranomaisesta, joka päättää vaatimustenvastaisuutta koskevista toimista.

Organisaatio on määrittänyt prosesseilleen sopivat toimintaympäristöt, jotta se voi tuottaa ja toimittaa tuotteitaan ja palveluitaan niiden laatu- ja muiden vaatimusten mukaisesti. Organisaatio on myös määritellyt, miten se tarjoaa ja ylläpitää tällaista ympäristöä.

Sopiva toimintaympäristö riippuu merkittävästi toimitettavien tuotteiden ja palvelujen tyypistä. Yleensä siihen voi liittyä inhimillisten ja fyysisten tekijöiden yhdistelmä, kuten esimerkiksi:

• sosiaaliset tekijät (esim. syrjimättömyys, rauhallisuus, ristiriidattomuus)
• psykologiset tekijät (esim. stressiä vähentävät, työuupumusta ehkäisevät, tunteita suojaavat tekijät)
• fyysiset tekijät (esim. lämpötila, lämpö, kosteus, valo, ilmavirta, hygienia, melu)

Kun organisaatio käyttää seuranta- ja mittausresursseja tuotteen / palvelun vaatimustenmukaisuuden todentamiseen, organisaatio on määritellyt:

• mitkä ovat tarvittavat seuranta- ja mittausresurssit
• miten se tarjoaa niitä
• miten se varmistaa pätevät ja luotettavat tulokset

Organisaation on varmistettava, että tarjotut seuranta- ja mittausresurssit:

• soveltuvat toteutettavien seuranta- ja mittaustoimien erityyppiin
• niitä ylläpidetään, jotta varmistetaan niiden jatkuva soveltuvuus tarkoitukseensa

Organisaatio on dokumentoinut asiaankuuluvat seuranta- ja mittausresurssit laadunhallintajärjestelmään, ja sen on dokumentoitava kaikki asiaankuuluvat todisteet niiden tarkoituksenmukaisuutta todennettaessa niihin liittyviin dokumentointikortteihin laadunhallintajärjestelmässä.

Organisaatio varmistaa, että ulkoisesti tarjotut prosessit, tuotteet ja palvelut eivät vaikuta kielteisesti kykyyn toimittaa vaatimustenmukaisia tuotteita ja palveluja asiakkailleen.

Tämän mahdollistamiseksi organisaatio dokumentoi laadunhallintajärjestelmäänsä jokaiselle ulkoisesti tarjotulle prosessille, tuotteelle tai palvelulle:

• tähän ulkoiseen palveluntarjoajaan sovellettavat tarkastukset
• tämän ulkoisen palveluntarjoajan tuotoksiin sovellettavat tarkastukset
• todentamistoimet, jotka ovat tarpeen sen varmistamiseksi, että ulkoinen palveluntarjoaja (ja tuotokset) täyttävät vaatimukset

Valvontatoimien olisi oltava oikeassa suhteessa niihin liittyvien toimintojen mahdolliseen vaikutukseen organisaation laatuun, ja niissä olisi otettava huomioon ulkoisen palveluntarjoajan itsensä soveltamien valvontatoimien tehokkuus.

Organisaatio on määritellyt, miten se viestii selkeästi laatuvaatimuksista asiaankuuluville ulkoisille palveluntarjoajille.