Diese Website verwendet Cookies. Betätigen Sie den Button "Zustimmen", um den Einsatz von Cookies zu akzeptieren. Mehr über unsere Datenschutzrichtlinien erfahren Sie hier.
Zustimmen

Was ist ein Information Security Management System?

Mittwoch, 02.10.2019

in unserem vorherigen Beitrag haben wir uns mit IT-Sicherheitsmethoden beschäftigt, die für Krankenhäuser jeder Größe aufgrund der stetig steigenden Cyber-Angriffe relevant sind. Heute lesen Sie, was ein ISMS konkret bedeutet.

Nochmal zur Erinnerung: Grundsätzlich verantwortet die Geschäftsführung die Informationssicherheit im Krankenhaus. Die nächste – durchaus anspruchsvolle – „Sicherheits-Stufe“ erreichen Sie, wenn Sie schrittweise ein gesamtheitliches IT-Sicherheitssystem implementieren.

Eine konkrete Möglichkeit hierzu bietet ein Information Security Management System (ISMS), das – konsequent angewendet – zu strukturierten und regelmäßigen Risikobetrachtungen führt.

Was verbirgt sich nun hinter einem ISMS?

Generell gilt: mit einem ISMS wird in einem Krankenhaus jeder Größe ein notwendiges strukturelles und organisatorisches Regelwerk eingeführt. Damit gewährleisten Sie kontinuierlich ein möglichst hohes Maß an Informationssicherheit.

Das Thema Informationssicherheit betrifft das ganze Krankenhaus oder eine Klinikgruppe.

Um ein ISMS erfolgreich einzuführen, sind eine Reihe von Schritten notwendig, die ich Ihnen in einem separaten Management-Letter erläutere. Berücksichtigen Sie aber unbedingt diese ersten drei Schritte:

1) Zunächst legen Sie einen konkreten Geltungsbereich fest.

2) Daraus folgend sind die jeweiligen Verantwortungsbereiche in den Einführungsprozess einzubinden, beispielsweise die Medizintechnik, die IT, die Haus- und Kommunikationstechnik, das Qualitätsmanagement und das Risiko- und Notfallmanagement.

3) Der nächste Schritt ist eine eingehende Analyse der internen Strukturen und Abläufe. Speziell betrifft das die

    • IT-Security
    • Dokumentationsverfahren
    • Ausfallsicherheit sowie Service- und Wartungsthemen

 

Auf der Basis einer Analyse der kritischen Prozesse im Geltungsbereich im Hinblick auf die Informationssicherheit wird in der Folge sukzessive ein IT-Risikomanagement etabliert.

Daraus resultiert eine Reihe unterschiedlicher prozessualer, organisatorischer und technischer Maßnahmen, die in Bezug auf Chancen/Risiken zu bewerten und entsprechend umzusetzen sind.

Besonders bedeutend ist das Etablieren eines permanenten Prozesses (PDCA), in der Regel mit Ausrichtung an der ISO27001. Die Prozesse und Abläufe werden wiederholt begutachtet und optimiert. Sie kennen diese Vorgehensweise bereits aus der ISO 9001.

Zudem sind kontinuierlich Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeiter vorzusehen.

Alles in allem liefert die Einführung eines ISMS ein umfassendes, strukturiertes und praxisorientiertes Rahmenwerk, um die Informationssicherheit des Krankenhauses – unabhängig von der Anzahl der vollstationären Patienten –auf einem gleichbleibend hohen Niveau zu halten und fortwährend zu verbessern.

Ein weiterer wichtiger Baustein zum Aufbau einer Informationssicherheits-Organisation ist das Schaffen einer neuen, verantwortlichen Funktion. Lesen Sie daher in unserer nächsten Ausgabe, was den IT-Security-Beauftragten vom Informations-Sicherheitsbeauftragten (ISB) unterscheidet.

Wenn Sie Anregungen, Ideen und Wünsche zu Inhalten haben oder sich gerne über ein bestimmtes Thema informieren möchten, dann lassen Sie es mich bitte wissen.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit
Autor
Walter Schäfer
IT-Security
7 wichtige Fakten für den ISB
IT-Sicherheitsmethoden und -Systeme – Reine Theorie oder reale Vorteile?
Patientensicherheit: Wie kamen medizinische Daten ins Netz?
Wie Sie sich gegen aktuelle Cyber-Angriffe schützen
NEU: Management Letter für das Gesundheitswesen von Adiccon
IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant
Penetrationstest: Sind Ihre Netzwerke und IT-Systeme gegen einen Angreifer abgesichert?
Brauchen KRITIS relevante Krankenhäuser georedundante Rechenzentren?
5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung
Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?
ISO 27001 Rezertifizierung erfolgreich absolviert
26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse
2. Informationstag für das Gesundheitswesen: 27.03.2019 – Darmstadt
BSI-KRITIS-Verordnung: Weitere Krankenhäuser erreichen Schwellenwert
Informationssicherheit im Krankenhaus: Welche Vorteile hat die Einführung eines ISMS?
Informationstag für das Gesundheitswesen: 21.11.2018 - Darmstadt
Die EU-DSGVO ist in Kraft getreten - was sind die nächsten wichtigen Schritte?
Überwachungsaudit bestätigt das ISMS der Adiccon
Der Countdown läuft – in einem Monat gilt die EU-DSGVO
KRITIS-Projekte in Krankenhäusern: Die Zeit wird knapp!
Umsetzung des IT‑Sicherheitsgesetzes in Kliniken – wie die Pflicht zur Kür wird
IT-Sicherheit in Kliniken: Ist das IT-Sicherheitsgesetz nur für „Kritische Infrastrukturen“ relevant?
Klinik-Organisation: Standardisiertes Entlassmanagement strukturiert einführen
Klinik Telekommunikation: ISDN verschwindet – was bedeutet das für Kliniken?
Klinik-IT: Erweiterung des KIS – Stagnation durch Personalmangel?
IT-Sicherheit in Kliniken: Ganzheitliches IT-Risikomanagement als Grundlage für einen umfassenden Schutz
IT Security Risikoanalyse vermeidet Kosten
IT-Sicherheit in Kliniken – Sicherheitslücken schließen, Disziplin der Mitarbeiter einfordern und Dokumentation optimieren
Herausforderung IT-Sicherheit in Kliniken: Technische Abwehrmaßnahmen stärken und Mitarbeiter sensibilisieren
FORMULARDESIGN im Krankenhaus-Informationssystem: Erlössteigerung durch vollständige Dokumentation der Leistungen
Informationssicherheit als kritischer Faktor – „IT-Security Check“ für Krankenhäuser und Klinikgruppen
Sichere Mails für unterwegs
Wenn Beratung ganz konkret wird – Software-Nutzung im Klinikalltag optimieren
„Infrastructural Mobility Check IMC“ – Neues Beratungsmodul für Klinikgruppen
Adiccon führt intensive Gespräche mit Klinikgruppen