Kickoff „ISMS Projekt“ im Krankenhaus

Nachdem die Geschäftsführung beschlossen hatte, ein ISMS (Informationssicherheits-Managementsystem) bis zum Ende des Jahres (2018) einzuführen, hatten wir diese Woche das Kick-off Meeting mit dem Leiter IT. Die erste Entscheidung war, den internationalen Standard ISO 27001 (Anforderungen an ein ISMS) als Basis für die Implementierung heranzuziehen. Ein Vorteil dieses Vorgehens ist es, sich zu einem späteren Zeitpunkt zertifizieren lassen zu können und ein solches Zertifikat für regulatorische Nachweispflichten (KRITIS, DSGVO, etc.) zu gebrauchen.  Auch bei etwaigen Haftungsfragen der Geschäftsführung ist ein solches Zertifikat immer ein Pluspunkt. Ein weiterer Vorteil ist die weltweite Verbreitung des Standards, sein Reifegrad und die hinreichende Verfügbarkeit von inhaltlichen und personellen Ressourcen.

Also, los geht’s! In Anlehnung an einen Spruch eines befreundeten Juristen „ein Blick ins Gesetzbuch hilft bei der Urteilsfindung“ ist unser Motto „ein Blick in den Standard hilft bei der Implementierung“. 😉

Und siehe da, die ersten Anforderungen befinden sich bereits in Kapitel 4 der ISO 27001 (Kontext). Im Wesentlichen geht es darum, die sogenannten „interested parties“ und deren Anforderungen zu identifizieren. Hierzu fallen einem ad hoc Patienten, Personal, Lieferanten, Aufsichtsbehörden und die Öffentlichkeit ein, nach genauem Überlegen dann aber noch viele mehr, wie zum Beispiel die Polizei, die regelmäßig Videomitschnitte aus dem Parkhaus anfragt, oder auch Verdächtige / Verurteilte bei der Behandlung bewacht. Eine sorgfältige Arbeit produziert eine vollständige Liste dieser interessierten Parteien und deren Anforderungen an die Informationssicherheit. Der Kontext wird vervollständigt durch die Definition des Anwendungsbereiches. In der Praxis beginnt man mit einem Kernprozess oder einer Abteilung und erweitert den Anwendungsbereich mit der Zeit auf die gesamte Einrichtung. Im vorliegenden Fall wurde entschieden, sich bis auf weiteres an der KRITIS-Sektorstudie des BSI (Revisionsstand Mai 2016) zu orientieren und den Anwendungsbereich auf den dort in Abb.36, S.108, skizzierten Prozess der stationären Behandlung zu begrenzen.

Die nächsten, wesentlichen Anforderungen befinden sich in Kapitel 5 (Leadership/Führung). Spätestens hier wird dem Leser klar, dass die Geschäftsführung vollständig hinter dem ISMS stehen muss. Die Anforderungen umfassen u.a. das Bereitstellen von hinreichenden Ressourcen, das aktive Kommunizieren der Bedeutung des ISMS, das Integrieren des ISMS in die Geschäftsprozesse. Letzterer Punkt verhindert beispielsweise, dass ein paar Mitarbeiter die IT-Sicherheit betreiben und alle anderen weiter werkeln wie bisher. Dies kann natürlich nicht funktionieren, d.h. IT-Security ist eine Gemeinschaftsaufgabe und speziell bei neuen Projekten ist das Thema zu berücksichtigen (Security by Design). Um hier von Anfang  an die volle Unterstützung zu erhalten, sollen der Geschäftsführung die entsprechenden Anforderungen in Form einer IT-Sicherheitspolitik vorgelegt werden. (Fortsetzung folgt)

Tags: , , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.