Diese Website verwendet Cookies. Betätigen Sie den Button "Zustimmen", um den Einsatz von Cookies zu akzeptieren. Mehr über unsere Datenschutzrichtlinien erfahren Sie hier.
Zustimmen

7 wichtige Fakten für den ISB

Donnerstag, 10.10.2019

Der Informationssicherheitsbeauftragte (ISB) ist für KRITIS-Krankenhäuser Pflicht. In diesem Blogbeitrag erfahren Sie 7 wichtige Fakten den ISB betreffend.

1. Offizielle Benennung

Betreiber kritischer Infrastrukturen sind gesetzlich verpflichtet, eine Kontaktstelle (Mail-Postfach) zu benennen und dem BSI zu melden. Zu diesem Postfach sollte neben dem ISB auch eine weitere Person (Vertretung) Zugang haben, um die Erreichbarkeit jeder Zeit zu garantieren.

Empfehlenswert es ist es weiterhin, die Einrichtung des ISB als Stabsstelle der Geschäftsführung vorzunehmen und diese öffentlich zu kommunizieren – sowohl intern allen Mitarbeitern, als auch nach außen auf der Webseite.

2. Ausbildung und Kenntnisse

Eine Regelung für die Ausbildung eines ISB ist gesetzlich nicht festgelegt.

Die Voraussetzung ist, dass der ISB über die erforderlichen Fachkenntnisse verfügt, um seine Aufgaben zu erfüllen (siehe Punkt 4). Darüber hinaus ist es von Vorteil, wenn der Funktionsträger (m/w/d) entsprechende Sozial- und Führungskompetenzen zur Erfüllung der Aufgaben mitbringt.

3. Zertifizierungen

Gründliche Fachkenntnisse sind unabdingbar, um die Position des ISB auszuüben. Gesetzlich ist jedoch keine Zertifizierung notwendig. Ein breites Spektrum an IT-Know-how genügt nicht, um die notwendigen IT-Security- und Managementaufgaben zu übernehmen. Hier bietet sich an, spezielle Schulungen und Seminare zu besuchen. Dazu zählen Kurse mit den folgenden Themenschwerpunkten:

ISO 27001, IT-Grundschutz, Einführung eines ISMS, Grundlagen der Informationssicherheit, datenschutzrechtliche Anforderungen sowie Risikomanagement.

4. Aufgaben

Der Informationssicherheitsbeauftragte ist für alle Fragen der Informationssicherheit im Krankenhaus zuständig. Zu seinen Aufgaben zählen insbesondere:

  • Ist-Analyse der Klinikprozesse mit Fokus auf informationsverarbeitende Dienste
  • Aufbau & Verbesserung eines Information-Security-Management-Systems (ISMS)
  • Erstellen von Informationssicherheitsleitlinien
  • Identifizieren kritischer Prozesse
  • Durchführung einer Risikobewertung
  • Anfertigen der Realisierungspläne für Sicherheitsmaßnahmen
  • Erstellung von Mitarbeiter-Schulungs- und –Sensibilisierungs-Maßnahmen
  • Weiterentwicklung des Informationssicherheits-Konzeptes
  • Kontrolle der Umsetzung der vom B3S geforderten IT-Sicherheitsrichtlinien
  • Audit sowie Reporting an die Geschäftsführung

 

5. Verantwortlichkeiten

Der ISB ist der Geschäftsführung unterstellt. Der Informationssicherheitsbeauftragte ist die Verbindungsstelle zwischen Geschäftsführung, IT-Abteilung und den Mitarbeitern. Mit seinem IT-Fach-Verständnis bereitet er die wichtigen Fragen der IT-Sicherheit für die Geschäftsführung vor und entlastet sie damit.

Gleichzeitig ist der ISB für den Aufbau und den Betrieb eines ISMS zuständig, um die Sicherheitsziele umzusetzen. Dabei erarbeitet und überwacht der ISB die Sicherheitskonzepte, Sicherheitsrichtlinien sowie Dienstanweisungen.

Durch das Ermitteln und Bewerten sicherheitsrelevanter Objekte – zusammen mit den Bedrohungen und Risiken –  muss der ISB Vorschläge für geeignete Maßnahmen erarbeiten, die dann von der Geschäftsführung in Kraft gesetzt werden.

6. Datenschutzbeauftragter, IT-Leiter und ISB in einer Person

Ein ISB ersetzt keinen Datenschutzbeauftragten, der gesetzlich vorgeschrieben ist (Art. 37 Abs. 1 lit. a – c DSGVO). Ein Datenschutzbeauftragter muss aufgrund seiner Qualifikation und seines Fachwissens im Datenschutzrecht für diese Aufgabe geeignet sein.

Das BSI[1] rät zudem, die Stelle des ISB nicht in die Position des IT-Leiters oder Systemadministrators zu integrieren. Da der ISB als Kontrollinstanz fungieren muss, um seine Aufgaben unabhängig von der IT-Organisation zu erfüllen, würde eine gemeinsame Rolle sonst zu Interessenskonflikten führen.

Genauso kann eine Personalunion mit dem Datenschutzbeauftragten kritisch sein, besonders was die Aufteilung der zeitlichen und fachlichen Ressourcen angeht.

7. Empfohlene Vorlagen zur Umsetzung

Nach § 8a (2) BSIG sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um das Sicherheitsniveau der Organisation zu steigern.

Dabei steht es dem Betreiber frei, wie die gesetzlich geforderten Vorkehrungen zur Gewährleistung der Sicherheitsstandards umgesetzt werden. Hilfreich ist es, hierbei eines der verschiedenen Standardrahmenwerke zu verwenden, die bereits erprobte Anforderungen zur Steigerung des Sicherheitsniveaus definieren.

Dies kann beispielsweise der IT-Grundschutz des BSI sein, die internationale ISO27001 für Informationssicherheit bzw. die internationale ISO27799 für das Gesundheitswesen oder der B3S (Branchenspezifische Sicherheitsstandard).

Empfehlenswert ist es, in jedem Fall diese Anforderungen in einem Risikomanagementsystem zu verwalten. Idealerweise kommt dabei ein IT-Risikomanagement-Tool zum Einsatz, mit dem sich nicht nur der Projektfortschritt verfolgen lässt, sondern das auch insbesondere die geforderte gesetzliche Nachweispflicht erfüllt.

[1] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/OnlinekursITGrundschutz2018/Lektion_2_Sicherheitsmanagement/Lektion_2_04/Lektion_2_04_node.html

 

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit
Autor
Martin Stopczynski
IT-Security
Was ist ein Information Security Management System?
IT-Sicherheitsmethoden und -Systeme – Reine Theorie oder reale Vorteile?
Patientensicherheit: Wie kamen medizinische Daten ins Netz?
Wie Sie sich gegen aktuelle Cyber-Angriffe schützen
NEU: Management Letter für das Gesundheitswesen von Adiccon
IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant
Penetrationstest: Sind Ihre Netzwerke und IT-Systeme gegen einen Angreifer abgesichert?
Brauchen KRITIS relevante Krankenhäuser georedundante Rechenzentren?
5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung
Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?
ISO 27001 Rezertifizierung erfolgreich absolviert
26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse
2. Informationstag für das Gesundheitswesen: 27.03.2019 – Darmstadt
BSI-KRITIS-Verordnung: Weitere Krankenhäuser erreichen Schwellenwert
Informationssicherheit im Krankenhaus: Welche Vorteile hat die Einführung eines ISMS?
Informationstag für das Gesundheitswesen: 21.11.2018 - Darmstadt
Die EU-DSGVO ist in Kraft getreten - was sind die nächsten wichtigen Schritte?
Überwachungsaudit bestätigt das ISMS der Adiccon
Der Countdown läuft – in einem Monat gilt die EU-DSGVO
KRITIS-Projekte in Krankenhäusern: Die Zeit wird knapp!
Umsetzung des IT‑Sicherheitsgesetzes in Kliniken – wie die Pflicht zur Kür wird
IT-Sicherheit in Kliniken: Ist das IT-Sicherheitsgesetz nur für „Kritische Infrastrukturen“ relevant?
Klinik-Organisation: Standardisiertes Entlassmanagement strukturiert einführen
Klinik Telekommunikation: ISDN verschwindet – was bedeutet das für Kliniken?
Klinik-IT: Erweiterung des KIS – Stagnation durch Personalmangel?
IT-Sicherheit in Kliniken: Ganzheitliches IT-Risikomanagement als Grundlage für einen umfassenden Schutz
IT Security Risikoanalyse vermeidet Kosten
IT-Sicherheit in Kliniken – Sicherheitslücken schließen, Disziplin der Mitarbeiter einfordern und Dokumentation optimieren
Herausforderung IT-Sicherheit in Kliniken: Technische Abwehrmaßnahmen stärken und Mitarbeiter sensibilisieren
FORMULARDESIGN im Krankenhaus-Informationssystem: Erlössteigerung durch vollständige Dokumentation der Leistungen
Informationssicherheit als kritischer Faktor – „IT-Security Check“ für Krankenhäuser und Klinikgruppen
Sichere Mails für unterwegs
Wenn Beratung ganz konkret wird – Software-Nutzung im Klinikalltag optimieren
„Infrastructural Mobility Check IMC“ – Neues Beratungsmodul für Klinikgruppen
Adiccon führt intensive Gespräche mit Klinikgruppen