In unserem vorherigen Beitrag haben wir uns mit IT-Sicherheitsmethoden beschäftigt, die für Krankenhäuser jeder Größe aufgrund der stetig steigenden Cyber-Angriffe relevant sind. Heute lesen Sie, was ein ISMS konkret bedeutet.

Nochmal zur Erinnerung: Grundsätzlich verantwortet die Geschäftsführung die Informationssicherheit im Krankenhaus. Die nächste – durchaus anspruchsvolle – „Sicherheits-Stufe“ erreichen Sie, wenn Sie schrittweise ein gesamtheitliches IT-Sicherheitssystem implementieren.

Eine konkrete Möglichkeit hierzu bietet ein Information Security Management System (ISMS), das – konsequent angewendet – zu strukturierten und regelmäßigen Risikobetrachtungen führt.

Was verbirgt sich nun hinter einem ISMS?

Generell gilt: mit einem ISMS wird in einem Krankenhaus jeder Größe ein notwendiges strukturelles und organisatorisches Regelwerk eingeführt. Damit gewährleisten Sie kontinuierlich ein möglichst hohes Maß an Informationssicherheit.

Das Thema Informationssicherheit betrifft das ganze Krankenhaus oder eine Klinikgruppe.

Um ein ISMS erfolgreich einzuführen, sind eine Reihe von Schritten notwendig, die ich Ihnen in einem separaten Management-Letter erläutere. Berücksichtigen Sie aber unbedingt diese ersten drei Schritte:

1) Zunächst legen Sie einen konkreten Geltungsbereich fest.

2) Daraus folgend sind die jeweiligen Verantwortungsbereiche in den Einführungsprozess einzubinden, beispielsweise die Medizintechnik, die IT, die Haus- und Kommunikationstechnik, das Qualitätsmanagement und das Risiko- und Notfallmanagement.

3) Der nächste Schritt ist eine eingehende Analyse der internen Strukturen und Abläufe. Speziell betrifft das die

    • IT-Security
    • Dokumentationsverfahren
    • Ausfallsicherheit sowie Service- und Wartungsthemen

Auf der Basis einer Analyse der kritischen Prozesse im Geltungsbereich im Hinblick auf die Informationssicherheit wird in der Folge sukzessive ein IT-Risikomanagement etabliert.

Daraus resultiert eine Reihe unterschiedlicher prozessualer, organisatorischer und technischer Maßnahmen, die in Bezug auf Chancen/Risiken zu bewerten und entsprechend umzusetzen sind.

Besonders bedeutend ist das Etablieren eines permanenten Prozesses (PDCA), in der Regel mit Ausrichtung an der ISO27001. Die Prozesse und Abläufe werden wiederholt begutachtet und optimiert. Sie kennen diese Vorgehensweise bereits aus der ISO 9001.

Zudem sind kontinuierlich Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeiter vorzusehen.

Alles in allem liefert die Einführung eines ISMS ein umfassendes, strukturiertes und praxisorientiertes Rahmenwerk, um die Informationssicherheit des Krankenhauses – unabhängig von der Anzahl der vollstationären Patienten –auf einem gleichbleibend hohen Niveau zu halten und fortwährend zu verbessern.

Ein weiterer wichtiger Baustein zum Aufbau einer Informationssicherheits-Organisation ist das Schaffen einer neuen, verantwortlichen Funktion. Lesen Sie daher in unserer nächsten Ausgabe, was den IT-Security-Beauftragten vom Informations-Sicherheitsbeauftragten (ISB) unterscheidet.

Wenn Sie Anregungen, Ideen und Wünsche zu Inhalten haben oder sich gerne über ein bestimmtes Thema informieren möchten, dann lassen Sie es mich bitte wissen.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit