Spätestens zum 30. Juni 2019 sollte in den KRITIS-Krankenhäusern ein ISB – Informations-Sicherheits-Beauftragter – benannt worden sein. Für viele Krankenhäuser ist damit eine völlig neue Stelle und – mehr noch – eine neue Funktion geschaffen worden. Wie sich der ISB nun innerhalb des Krankenhauses optimal integriert und seine Aufgaben wahrnehmen kann, erfahren Sie in diesem Management-Letter.

Die Funktion des ISB, auch als CISO – Chief Information Security Officer bekannt, wird in der Regel als Stabsstelle direkt bei der Geschäftsführung des Krankenhauses eingerichtet. Hier ist bereits mit einem ersten Missverständnis aufzuräumen. Der ISB hat keine operative, sondern vielmehr eine strategische Aufgabe. Er berät und unterstützt die Geschäftsführung in Bezug auf die Informationssicherheit in allen Prozessen des Krankenhauses.

Weiter gilt der ISB als Verbindungsstelle zwischen Geschäftsführung, Mitarbeitern und im speziellen den nicht klinischen Kernabteilungen wie IT, Datenschutz, Medizin- sowie Haustechnik. Mit seinem IT-fachlichen Verständnis bereitet er die wichtigen Fragen der Informationssicherheit aus allen Krankenhausabteilungen für die Geschäftsführung vor und entlastet sie damit.

Konkret findet dazu die Zusammenarbeit zwischen den Abteilungen über ein gemeinsames Gremium für das Risikomanagement statt. Dabei übernimmt der ISB den Aufbau sowie die kontinuierliche Verbesserung eines unternehmensweiten Information-Security-Management-Systems (ISMS), um die Sicherheitsziele des Krankenhauses umzusetzen.

Dazu schreibt der ISB das Informationssicherheits-Konzept ständig fort und entwickelt die IT-Sicherheitsinfrastruktur weiter. Im Einzelnen bedeutet dies das Ermitteln und Bewerten sicherheitsrelevanter Risikoobjekte. Anhand der Bedrohungen und Risiken muss der ISB im weiteren Verlauf mit den Fachabteilungen Entscheidungsvorschläge zu Sicherheitsmaßnahmen erstellen, die dann von der Geschäftsführung in Kraft gesetzt werden.

Für eine erfolgreiche Integration in die Organisation sind die Sicherheitsziele klar zu kommunizieren. Die Zusammenarbeit mit Kleingruppen aus den Abteilungen hat sich dazu bewährt. Dabei sind einerseits die notwendigen Maßnahmen zu vermitteln, die das Sicherheitsniveau des gesamten Krankenhauses erhöhen und andererseits auch die positiven Effekte auf die Abteilung selbst.

Der ISB hat deshalb durchaus eine Marketingaufgabe, indem er den Nutzen von Sicherheitsmaßnahmen entsprechend klar macht. Durch den transparenten Umgang mit Risiken werden damit z.B. bisher unbehandelte Risikobereiche der Abteilungen jetzt der Geschäftsführung präsent.

Als geeignete Methode der Zusammenarbeit mit den Verantwortlichen oder Prozessvertrauten der jeweiligen Abteilung haben sich Workshops bzw. Interviews etabliert. Gespräche mit den abteilungsinternen Qualitätsbeauftragten sind sogar empfehlenswert und nicht nur eine Alternative zum Abteilungsleiter bzw. Chefarzt. Das persönliche Gespräch verbessert zudem die Integration des ISB und dient dazu, ihn als Kontaktperson für Informationssicherheitsfragen viel deutlicher wahrzunehmen.

Für kleinere Organisationen ist es von Vorteil, einen externen ISB zu beauftragen, um personelle Ressourcen einzusparen. Ein externer ISB verfügt über das nötige Fachwissen, ist stets auf dem neuesten Stand und kann somit optimal beraten.

Fazit:

Die Position des ISB ist in vielen Krankenhäusern noch neu und ungewohnt. Seine Aufgabe ist in einer Stabsstelle für Informationssicherheit verankert und bildet das Verbindungsglied zwischen Fachabteilungen und Geschäftsführung. Dafür muss der ISB nicht nur fachlich entsprechend qualifiziert sein, sondern in hohem Maße empathisch mit den verschiedenen Berufsgruppen interagieren können.

 

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit