Der Informationssicherheitsbeauftragte (ISB) ist für KRITIS-Krankenhäuser Pflicht. In diesem Blogbeitrag erfahren Sie 7 wichtige Fakten den ISB betreffend.

1. Offizielle Benennung

Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, eine Kontaktstelle (Mail-Postfach) zu benennen und dem BSI zu melden. Zu diesem Postfach sollte neben dem ISB auch eine weitere Person (Vertretung) Zugang haben, um die Erreichbarkeit jeder Zeit zu garantieren.

Empfehlenswert es ist es weiterhin, die Einrichtung des ISB als Stabsstelle der Geschäftsführung vorzunehmen und diese öffentlich zu kommunizieren – sowohl intern allen Mitarbeitern, als auch nach außen auf der Webseite.

2. Ausbildung und Kenntnisse

Eine Regelung für die Ausbildung eines ISB ist gesetzlich nicht festgelegt.

Die Voraussetzung ist, dass der ISB über die erforderlichen Fachkenntnisse verfügt, um seine Aufgaben zu erfüllen (siehe Punkt 4). Darüber hinaus ist es von Vorteil, wenn der Funktionsträger (m/w/d) entsprechende Sozial- und Führungskompetenzen zur Erfüllung der Aufgaben mitbringt.

3. Zertifizierungen

Gründliche Fachkenntnisse sind unabdingbar, um die Position des ISB auszuüben. Gesetzlich ist jedoch keine Zertifizierung notwendig. Ein breites Spektrum an IT-Know-how genügt nicht, um die notwendigen IT-Security- und Managementaufgaben zu übernehmen. Hier bietet sich an, spezielle Schulungen und Seminare zu besuchen. Dazu zählen Kurse mit den folgenden Themenschwerpunkten:

ISO 27001, IT-Grundschutz, Einführung eines ISMS, Grundlagen der Informationssicherheit, datenschutzrechtliche Anforderungen sowie Risikomanagement.

4. Aufgaben

Der Informationssicherheitsbeauftragte ist für alle Fragen der Informationssicherheit im Krankenhaus zuständig. Zu seinen Aufgaben zählen insbesondere:

  • Ist-Analyse der Klinikprozesse mit Fokus auf informationsverarbeitende Dienste
  • Aufbau & Verbesserung eines Information-Security-Management-Systems (ISMS)
  • Erstellen von Informationssicherheitsleitlinien
  • Identifizieren kritischer Prozesse
  • Durchführung einer Risikobewertung
  • Anfertigen der Realisierungspläne für Sicherheitsmaßnahmen
  • Erstellung von Mitarbeiter-Schulungs- und –Sensibilisierungs-Maßnahmen
  • Weiterentwicklung des Informationssicherheits-Konzeptes
  • Kontrolle der Umsetzung der vom B3S geforderten IT-Sicherheitsrichtlinien
  • Audit sowie Reporting an die Geschäftsführung

 

5. Verantwortlichkeiten

Der ISB ist der Geschäftsführung unterstellt. Der Informationssicherheitsbeauftragte ist die Verbindungsstelle zwischen Geschäftsführung, IT-Abteilung und den Mitarbeitern. Mit seinem IT-Fach-Verständnis bereitet er die wichtigen Fragen der IT-Sicherheit für die Geschäftsführung vor und entlastet sie damit.

Gleichzeitig ist der ISB für den Aufbau und den Betrieb eines ISMS zuständig, um die Sicherheitsziele umzusetzen. Dabei erarbeitet und überwacht der ISB die Sicherheitskonzepte, Sicherheitsrichtlinien sowie Dienstanweisungen.

Durch das Ermitteln und Bewerten sicherheitsrelevanter Objekte – zusammen mit den Bedrohungen und Risiken –  muss der ISB Vorschläge für geeignete Maßnahmen erarbeiten, die dann von der Geschäftsführung in Kraft gesetzt werden.

6. Datenschutzbeauftragter, IT-Leiter und ISB in einer Person

Ein ISB ersetzt keinen Datenschutzbeauftragten, der gesetzlich vorgeschrieben ist (Art. 37 Abs. 1 lit. a – c DSGVO). Ein Datenschutzbeauftragter muss aufgrund seiner Qualifikation und seines Fachwissens im Datenschutzrecht für diese Aufgabe geeignet sein.

Das BSI[1] rät zudem, die Stelle des ISB nicht in die Position des IT-Leiters oder Systemadministrators zu integrieren. Da der ISB als Kontrollinstanz fungieren muss, um seine Aufgaben unabhängig von der IT-Organisation zu erfüllen, würde eine gemeinsame Rolle sonst zu Interessenskonflikten führen.

Genauso kann eine Personalunion mit dem Datenschutzbeauftragten kritisch sein, besonders was die Aufteilung der zeitlichen und fachlichen Ressourcen angeht.

7. Empfohlene Vorlagen zur Umsetzung

Nach § 8a (2) BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um das Sicherheitsniveau der Organisation zu steigern.

Dabei steht es dem Betreiber frei, wie die gesetzlich geforderten Vorkehrungen zur Gewährleistung der Sicherheitsstandards umgesetzt werden. Hilfreich ist es, hierbei eines der verschiedenen Standardrahmenwerke zu verwenden, die bereits erprobte Anforderungen zur Steigerung des Sicherheitsniveaus definieren.

Dies kann beispielsweise der IT-Grundschutz des BSI sein, die internationale ISO27001 für Informationssicherheit bzw. die internationale ISO27799 für das Gesundheitswesen oder der B3S (Branchenspezifische Sicherheitsstandard).

Empfehlenswert ist es, in jedem Fall diese Anforderungen in einem Risikomanagementsystem zu verwalten. Idealerweise kommt dabei ein IT-Risikomanagement-Tool zum Einsatz, mit dem sich nicht nur der Projektfortschritt verfolgen lässt, sondern das auch insbesondere die geforderte gesetzliche Nachweispflicht erfüllt.

[1] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/OnlinekursITGrundschutz2018/Lektion_2_Sicherheitsmanagement/Lektion_2_04/Lektion_2_04_node.html

 

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit