+49 (0) 89 48 90 599 0 info@wwwan.de
+49 (0) 89 48 90 599 0 info@wwwan.de
Zurück zur Blogübersicht

Veröffentlicht : 28.09.2022

Was ist ein Information Security Management System (ISMS)?

Ein Managementsystem für die Informationssicherheit (ISMS) ist nichts anderes als eine operative Strategie zur Gewährleistung eines angemessenen Informationsschutzes. Mit dieser Strategie sollen Maßnahmen und Verfahren kontinuierlich verbessert werden, um die mit einer Verletzung der Vertraulichkeit verbundenen Risiken zu minimieren bzw. auszuschließen. Mit anderen Worten: Ein Informationssicherheitssystem ist so konzipiert, dass es vor Bedrohungen schützt und die Sicherheit von Einrichtungen im Gesundheitswesen gewährleistet. Kurz gesagt bestehen die Aufgaben eines Information Security Management System für Krankenhäuser in der:

  • Geschäftskontinuität
  • Minimierung von Verlusten
  • Maximierung der Rentabilität von Krankenhausinvestitionen und -aktivitäten

Ein Managementsystem für Informationssicherheit (ISMS), das der Norm ISO/IEC 27001 entspricht, gilt als die beste Lösung, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. EN ISO/IEC 27001:2017 ist eine internationale Norm für Leitlinien im Informationssicherheits-Management.

Warum braucht man ein ISMS?

Die Umsetzung der EN ISO/IEC 27001-Richtlinie, die seit 01.01.2022 für alle Krankenhäuser gesetzlich verpflichtend ist, hat folgende Ziele:

  • Einen sicheren Informationsfluss innerhalb der Einrichtung des Gesundheitswesens zu gewährleisten.
  • Den Prozess der Überwachung der Einrichtung des Gesundheitswesens mit all ihren Tätigkeitsbereichen zu erleichtern.
  • Sicherzustellen, dass die Einrichtung des Gesundheitswesens im Einklang mit den sich ändernden gesetzlichen Bestimmungen handelt und in der Lage ist, rechtzeitig auf diese Änderungen zu reagieren.
  • Die Sicherheit von Informationen, die in den Prozessen der Einrichtung des Gesundheitswesens verarbeitet werden, zu verbessern.

Darüber hinaus zielt die Einführung eines Informationssicherheits-Managementsystems darauf ab, Verfahren in der Einrichtung des Gesundheitswesens einzuführen, die das Auftreten interner und externer sowie bewusster und unbewusster Bedrohungen verhindern oder deren Folgen minimieren. Dies bezieht sich vor allem auf Bedrohungen im Zusammenhang mit Informationen, welche von Einrichtungen des Gesundheitswesens verarbeitet werden, einschließlich personenbezogener Daten.


Es gibt viele Beispiele für externe Bedrohungen, welche auftreten können. Alle modernen medizinischen Geräte haben einen integrierten Computer oder Laptop, über den sie bedient werden. Deshalb sollte man die Verträge mit Lieferanten im Hinblick auf die Überlassung personenbezogener Daten und die Ermächtigungen zu ihrer Verarbeitung genau untersuchen.
Neben diesem rechtlichen Bereich muss aber auch auf die IT-Sicherheit geachtet werden, das heißt:

  • Wie ist der Computer eingeloggt?
  • Ist der Computer mit dem Internet verbunden?
  • Ist der Computer mit dem lokalen Netzwerk verbunden?
  • Wer wartet den Computer?
  • Gibt es eine Datenübertragungsvereinbarung?
  • Welches Betriebssystem ist auf dem Computer installiert?
  • Ist auf dem Computer ein Antivirenprogramm installiert?
  • Werden Back-ups erstellt?
  • Ist ein Fernzugriff möglich?
  • Besteht für den Computer eine Garantie?

Auch Einrichtungen, die eng mit dem Krankenhaus zusammenarbeiten, wie beispielsweise Apotheken, Ambulanzdienste, Stiftungen, Labore oder Sicherheitsunternehmen, können eine externe Bedrohung darstellen. Hier sollte deshalb der Zugriff auf die IT-Dienste, z.B. medizinische Daten, Domains, Internet, Mail oder IT-Ausstattung des Krankenhauses, sorgfältig geprüft werden.


Der interne Kontext der Planung eines Information Security Management System besteht unter anderem aus der Organisationsstruktur, dem Informationssystem, den Beziehungen zu den internen Interessengruppen und den Geschäftsverträgen. Ein Teil des internen Kontextes sind die Schulungspläne für die Informationssicherheit. Dies ist ein sehr wichtiges Element für die Sensibilisierung der Mitarbeiter. Die Pläne sollten einen starken Praxisbezug aufweisen und aktuelle Risiken und Bedrohungen im Bereich der Informationssicherheit aufzeigen. Ein Element der Sicherheitsschulung könnte beispielsweise ein Modul zur Sicherung von Mitarbeiterpasswörtern sein.


Was ist die Rolle eines IT-Sicherheitsbeauftragten im ISMS?

Die Person, welche für die Sicherung der IT-Infrastruktur eines Krankenhauses verantwortlich ist, wird als Chief Information Security Officer (CISO) bezeichnet. Im Wesentlichen besteht die Aufgabe dieser Fachkraft darin, eine Sicherheitsstruktur für das Krankenhaus zu schaffen, durchzusetzen und zu warten. Das Tätigkeitsfeld kann alles umfassen, von Verfahren für den Umgang mit vertraulichen Informationen bis hin zu Methoden zum Schutz der digitalen Infrastruktur. Als Teil der Führungsebene eines Krankenhauses ist der Chief Information Security Officer in der Regel auf einer höheren Ebene tätig und kann für eine Reihe von Informationssicherheitsmitarbeitern verantwortlich sein.


Welche Vorteile bietet die Einführung eines Informationssicherheits-Managementsystems?


Ein Managementsystem für Informationssicherheit nach ISO/IEC 27001 verbessert die Position der Einrichtung des Gesundheitswesens auf dem Markt in Bezug auf die angebotenen Dienstleistungen. Es ermöglicht Krankenhäusern, viele Vorteile zu erzielen, zu denen auch die Erhöhung des Sicherheitsniveaus im Managementbereich gehört. Darüber hinaus bietet es vielfältige weitere Vorteile im Gegensatz zum „klassischen“ Krankenhausbetrieb:

  • ein besseres Image außerhalb der Organisation
  • größeres Vertrauen in die Organisation, größeres Gefühl der Sicherheit für Kunden/Patienten
  • Korrektheit der Prozessdurchführung (geringere Anzahl von Beschwerden, Reklamationen)
  • schnellere und wirksame Reaktion auf Zwischenfälle/Verfahrensverstöße
  • Straffung des Informations-Managementsystems
  • Selbstlernen der Organisation – die ISO-Norm führt dazu, dass die Organisation durch Verbesserungs- und Optimierungsmechanismen "angetrieben" wird und das Optimum zwischen Sicherheit und Effizienz sucht
  • professionelle, bewusste und wirksame Organisation der Sicherheit im Unternehmen
  • ordentliche Arbeitsbedingungen (sauberer Schreibtisch, saubere Arbeitsfläche)
  • schnellere Einarbeitung neuer Mitarbeiter, Schutz von Informationen bei Personalwechsel
  • Vereinheitlichung der Arbeitsregeln an den einzelnen Standorten
  • klare Kompetenz- und Verantwortungsabgrenzung
  • Verbesserung der Qualität der erbrachten Dienstleistungen
  • Einbeziehung aller Mitarbeiter in das Unternehmen und Verbesserung der Sicherheit
  • Kontinuität des Betriebs der Einrichtung des Gesundheitswesens in einer Krisensituation

Fazit:

Wichtig ist vor allem für private Krankenhäuser, die keine eigene IT-Abteilung besitzen, einen zuverlässigen externen Partner zu wählen. Wir von der WWWAN sind mit allen Anforderungen, die ein Krankenhaus hat, vertraut und verstehen uns als kompetenten Partner mit viel Erfahrung.
 

 

 

Veröffentlicht : 28.09.2022

author_male

Stefan Hackl
Stefan Hackl

Teile uns auf

Bewerte diesen Artikel

Kategorien

E-Health   IT-Lösungen   IT-Security  
Wir sind sofort für sie da.
Rufen Sie uns an unter der +49 (0) 89 48 90 599 0 Zum Kontaktformular