In unserem letzten Beitrag sind wir auf die Gründe für ein IT-Risikomanagement eingegangen. Heute erfahren Sie in 10 Punkten, wie Sie souverän mit IT-Risiken umgehen können.

Sie können sich diese Liste zum Umgang mit IT-Risiken hier kostenlos herunterladen.

  1. Die Krankenhausleitung hält die Gesamtverantwortung über alle Risiken und entscheidet in letzter Instanz über deren Behandlung. Einher geht das Bereitstellen der benötigten Mittel. Dies beinhaltet nicht nur die finanziellen Mittel, sondern speziell personelle Ressourcen und deren Verantwortungsbereiche.
  2. Einen Verantwortungsbereich übernimmt der Informationssicherheitsbeauftragte (ISB). Dieser ist für das Planen, Überwachen und Steuern des Risikomanagementprozesses verantwortlich. Er ist zentraler Ansprechpartner und Schnittstelle zwischen Management, Abteilungen und Mitarbeitern.
  3. Das Überprüfen der Risikobehandlung und die Kontrolle der Aktualität der Dokumente sollte der ISB in regelmäßigen Workshops in einem Risikomanagement-Team (RM-Team) oder direkt in den Abteilungen koordinieren.
  4. Um die die gesetzlichen Anforderungen einzuhalten, muss der ISB als erstes ein Risikomanagement-Konzept aufsetzen und
  5. mindestens die folgenden Schutzziele definieren: Patientensicherheit, Patientenversorgung, Wirtschaftlichkeit und das Einhalten gesetzlicher Anforderungen (IT-Sicherheitsgesetzt, KRITIS, Nachweise gemäß § 8a BSIG, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz).
    Die Schutzziele beschreiben dabei den herbeizuführenden Sollzustand der zu schützenden Bereiche eines Klinikums. Sie bilden die Basis für die Ermittlung kritischer Dienstleistungen und der IT-Abhängigkeit aus Sicht der Informationssicherheit. Zudem helfen sie bei der Entscheidung im Rahmen der Risikobehandlung.
  6. Essenziell ist außerdem die Definition des Geltungsbereichs der Risikoanalyse sowie der Definition der Kriterien zur Bewertung der Kritikalität der Risikoobjekte.
  7. In einem halbjährlichen Abstand (auf jeden Fall aber jährlich) sollten die Risiken, welche die kritischen Prozesse betreffen, geprüft und angepasst werden. Alle anderen Prozessrisiken sind jährlich im Risikomanagementprozess (Audit) aufzunehmen. Dabei soll die Wirksamkeit von umgesetzten Maßnahmen untersucht und geplante Maßnahmen auf ihren Wirkungsgrad untersucht werden.
  8. Die identifizierten und bewerteten Risiken und daraus abgeleiteten Maßnahmen werden regelmäßig im RM-Team besprochen und eine Empfehlung für die Risikobehandlung beschlossen.
  9. Dies schließt das Festlegen der Risikomanagementmethodik mit ein. Die Ergebnisse werden abschließend durch das Management bewertet und entschieden.
  10. Das Identifizieren der Risikoobjekte, deren konkretes Behandeln sowie alle nachfolgenden Überprüfungen, liegen jedoch stets beim jeweiligen Prozess- bzw. Risikoobjekt-Verantwortlichen.

Wenn Sie diese 10 Punkte in einer übersichtlichen Liste haben wollen, können Sie diese hier einfach herunterladen.

Informieren Sie sich auch über AdiRisk, die aktuelle Riskomanagement-Lösung für ISO 27001 und B3S.

Wenn Sie mehr zum Thema IT-Risikomanagement erfahren möchten, sprechen Sie mich gerne an. Sie erreichen mich per Mail oder rufen Sie mich an: +49 6151 500 777 88.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit