Datenschutz-Management
- damit Kundendaten den Kunden gehören!
Informations-sicherheit
- damit Wichtiges sicher bleibt!
Risiko-
management
für Praktiker
ohne Nebenwirkungen

IT-Sicherheitsmanagement mit CETUS? - eine Antwort

Informationssicherheit verfolgt das Ziel, die Informationen, die in den Geschäftsprozessen des Krankenhauses verarbeitet werden, angemessen zu schützen. In diesem Zusammenhang umfasst die Informationssicherheit die anhaltende Verfügbarkeit, Vertraulichkeit und Integrität von Informationen.
CETUS Consulting GmbH verfügen über ausgeprägte Erfahrungen durch verschiedenste Projekte in kleinen und großen Krankenhäusern von Hamburg bis München. Die notwendigen Dokumente und Vorgehensweisen sind bereits erarbeitet.


Qualitative und quantitative IST-Aufnahme



Mit ESAMIT 4.0 wurde eine Prozessarchitektur entwickelt, die die verschiedenen Managementnormen für IT-Servicemanagement, IT-Security, Risikomanagement und Financial Services miteinander verbindet. Mit dieser Analyse wird der genaue Sollzustand und auch die weiteren Schritte zur Optimierung und Einführung eines ISMS ermittelt welches an der ISO 27001 ausgerichtet ist.


Einführung eines ISMS



Die Geschäftsführung des Krankenhauses sollte aufgrund der Größe und Struktur des Hauses eine Organisation für Informationssicherheit schaffen. Kern dieser Organisation sollte es sein, die Anforderungen an die Informationssicherheit sicher zu stellen. Die Bereiche IT, QM und GS müssen involviert sein.

Das ISMS besteht aus den folgenden Punkten:
• Definition notwendiger Richtlinien
• Durchführung Risikoanalysen
• Festlegung Verantwortlichkeiten
• Definition notwendiger Prozesse
• Umsetzung der Planungen
• Einführung PDCA-Zyklus
• Audit / Zertifizierung

ISMS Prozesse



Das ISMS besteht aus den folgenden Kernprozessen des Management-Systems. Diese Prozesse sind zwingend notwendig.
• Management von kritischen Vermögenswerten -> Risikomanagementhandbuch
• Management von Risiken -> Risikomanagementhandbuch (Risikomanagementprozess in seinen Schritten)
und Richtlinie Risikomanagement
• Management von Informationssicherheit -> Richtlinie: Stellenbeschreibung IT-Sicherheitsbeauftragten sowie -> Richtlinie: IT-Sicherheitsteam beschrieben


Für die gängigen Systeme und Softwareprodukte verfügen wir über Risikoanalysen wie zum Beispiel für ORBIS, iMedOne und medico.

Grundsätze der Informationssicherheit


Informationssicherheit in Krankenhäusern liegt dem Grundprinzip zugrunde, um die Grundwerte der Informationssicherheit zu schützen. Deshalb ist die

• Verfügbarkeit der Informationen, zur rechten Zeit und am rechten Ort
• Vertraulichkeit der Informationen, d.h. Informationen dürfen nur diejenigen erhalten, die dazu berechtigt sind
• Integrität der Informationen, d.h. Richtigkeit und Nachvollziehbarkeit von Änderungen und Anpassungen

das Hauptaugenmerk der Bemühungen, sofern es die Informationssicherheit betrifft.

Vor diesem Hintergrund gilt für das Krankenhaus die anerkannte Normenfamilie der ISO / IEC 2700x in der jeweiligen aktuellen und gültigen Version. Das Managementsystem ist an den Standards der ISO / IEC 27001: in der jeweils aktuellsten Version angelehnt. Des Weiteren werden die Maßnahmen der ISO 27002: in der jeweils aktuellsten Version mit einbezogen.

Bei Maßnahmen, die zur Risikominimierung der Informationsprozesse führen, sind die Prinzipien der Angemessenheit für Sicherheitskontrollen zu befolgen. Die genehmigten IT-Sicherheitskontrollen sind zu identifizieren und zielführend umzusetzen.

Die Informationssicherheit im Krankenhaus ist als ein Bündel von Prozessen und Strukturen zu definieren, die kontinuierlich durch ein implementiertes KVP (Kontinuierlicher Verbesserungsprozess) aktualisiert und optimiert werden müssen.

Ziel der Informationssicherheit


Das Handeln und der Qualitätsanspruch sowie das damit verbunden Bild der Krankenhäuser in der Öffentlichkeit und bei Lieferanten, Banken und Kunden hängt in einem großen Maß von der Zuverlässigkeit der Geschäftsprozesse ab. Dieses wird wiederum stark von der Sicherheit der Informationsverarbeitung als Schwerpunkt beeinflusst:

• Rechtzeitige Bereitstellung von Informationen
• Ausreichende Vertraulichkeit und Integrität der Informationen

Aus diesem Grunde ist das Hauptanliegen, dass das Verwenden bestimmter Informationen der Primärprozesse und die unterstützenden Maßnahmen sichergestellt sind.

Die Voraussetzung hierfür ist, dass das Bewusstsein für die Verantwortlichkeit von Informationen beim Besitzer und derer, die für die Geschäftsprozesse verantwortlich sind, wenn sie mit Informationen zu tun haben, gegeben ist. Sie setzen mit ihrer Bewertung und Beurteilung der Sicherheitsrisiken die Standards, die für die Auswahl geeigneter Sicherheitsmaßnahmen und deren effektiven Umsetzung notwendig sind. Die Information muss, im Zusammenhang mit dem jeweiligen Geschäftsprozess, berücksichtigt werden. Diese Sicherheitsmaßnahmen, als Folge dieser Betrachtung, müssen wirtschaftlich sinnvoll und angemessen im Verhältnis zum beabsichtigten Schutzzweck (z.B. Patientensicherheit) sein.

PDCA Zyklus und Audits


Das strategische Ziel ist es eine kontinuierliche Verbesserung des Informationssicherheits-Management-Systems (ISMS) und des Sicherheitskonzeptes zu erreichen. Regelmäßige interne Audits in Bezug auf die Informationssicherheit dienen dazu, die Ziele zu erreichen.

Die CETUS Consulting GmbH pflegt ein intensives Netzwerk zu Fachkollegen und Fachgesellschaften. Wir unterstützen Sie gerne in jeder Lage. Sprechen Sie uns an! Mehr unter info@cetus-consulting.de.
Kontakt
Adresse:
Mendelstraße 11
48149 Münster
Social Media






Ihre Nachricht
Name:*       Treten Sie mit uns in Kontakt!
Wir werden uns umgehend bei Ihnen zurückmelden.


E-Mail:* 
Anfrage: