Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
21
ISMS-Aufbau im Krankenhaus
x-tention.com
x-tention Unternehmensgruppe
Ihr Kontakt zu x-tention
x-tention Informationstechnologie AT +4372422155 [email protected] +4982145590320 [email protected] +41432226022 [email protected] +442039839860 [email protected]
sofficoDE +4982145590100 [email protected]
InterComponentWareDE +4962273850 [email protected] +16502812872 [email protected]
FAKTOR D consultingDE +4982156747434 [email protected]
it for industriesAT +43724221550 [email protected]
TelefonMobilE-Mail
+43 7242 2155 6325+43 664 80009 [email protected]
Michael PunzInformationssicherheit&Datenschutz
Wie geht man ein ISMS-Projekt im Krankenhaus an?
SeitderVerabschiedungderNIS-RichtliniemüssenKran-kenhäuser,diealsBetreiberwesentlicherDienste(KRITIS)eingestuftwerden,einInformationssicherheits-Manage-mentsystem(ISMS)aufbauen.x-tentionunterstütztSiebeiderProjektplanung,demISMS-AufbauundderEinführungmitfachlichemKnow-howsowielangjährigerErfahrung.
43
Der Aufbau eines ISMS ist kein einmaliges Projekt, das einmal umgesetzt und anschließend abgeschlossen ist. Ein ISMS muss laufend betrieben, ak-tualisiert und erweitert werden, denn auch die Bedrohungen und Risiken verändern sich ständig.
Das ISMS-ProjektWorauf muss ich achten?
BeiminitialenISMS-Aufbauprojektisteswichtig,sichnichtimDetailzuverlieren.StartenSiedasISMSineinem„Basis-Setup“undergänzenSiedasSystemimLaufederZeitmitweiterenDetails.
Praxistipp GeradeamBeginneinesISMSgilt,dasswenigeroftmehrist.WennSieIhreOrganisationvonBeginnanmiteinem„ausgewachsenen“ISMSüberfordern,istdieWahrscheinlichkeitgroß,dassdiesesnichtgelebtwirdundzueinem„Papier-tiger“inderSchublademutiert.
Welcher Detailgrad ist beim Aufbau notwendig?
ImKrankenhausbereichorientiertsichderScopeandenKernprozessenzurmedizinischenVersorgungvonPatienten.ÜblicherweisesinddiesdiefünfKernprozesseAufnahme,Diagnose,Therapie,PflegeundEntlassung.SämtlicheRichtlinien,ProzessbeschreibungenundDokumentationensindaufdiesenSco-peabzustimmen,wodurchauchersichtlichwird,dassdieITalleineeinsolchesThemanichtvollumfänglichbewältigenkann.
Wie sieht der Geltungsbereich/Scope aus?
umsetzungProjekt-
65
Ein ISMS-Projekt ist kein reines IT-Thema und betrifft beinahe alle Fachbe-reiche eines Krankenhauses. Im Kernteam sollten sich neben der IT auch Vertreter aus der Medizin- und Haustechnik sowie aus dem Datenschutz und dem Personalwesen wiederfinden. Für das Gelingen eines derartigen Projektes ist es außerdem von großer Wichtigkeit, dass dieses vom obers-ten Management aktiv mitgetragen und als wichtiges Thema kommuni-ziert wird. Zudem sollte bei der Erstellung von Mitarbeitervorgaben nicht die frühzeitige Einbindung des Betriebsrates vergessen werden.
Die ProjektumsetzungWas sind die konkreten Schritte beim ISMS-Aufbau?
Mitarbeiterschulen
Risikomanagement aufbauen
Vorgabendefinieren
ISMSkontinuierlichverbessern
Projekt starten
Prozessanalysedurchführen
Abläufe dokumentieren
Notfallpläneerstellen
1.
2.
3.
4.5.
6.
7.
8.
ZumProjektbeginnerfolgteingemeinsamerKick-off-TerminmitVertreternallerrelevantenFachbereiche(IT,Medizin-undHaustechnik,Datenschutz,Personalwesenusw.)unddemoberstenManagement.BeidiesemTerminwerdenderProjektauftrag,derProjektplanunddie jeweiligenArbeitspaketevorgestellt.
1. Projekt startenPraxistipp:NurmiteinemklarenBekenntnisdesoberstenManage-mentszurWichtigkeiteinesderartigenProjektesisteinerfolgreicherISMS-Aufbaumöglich.
AnschließenderfolgteineAnalysederGeschäftsprozesseunddermedizinischenKernprozesse.Dazuwerdensämt-licheSupportprozesseimHaus,diefürdieSicherstellungderKernprozesse(Aufnahme,Diagnose,Therapie,PflegeundEntlassung)notwendigsind,identifiziert.
DaraufaufbauendwerdenineinemweiterenSchrittdiekriti-schenProzesseerhoben.FürjedenalskritischbewertetenProzesswirdzudemermittelt,welcheIT-UnterstützungzurdauerhaftenServiceerbringungnotwendigist(zumeinenIT-AnwendungenausAnwendersichtundzumanderenIT-KomponentenausIT-Infrastruktur-Sicht).TypischeIT-An-wendungenimKrankenhaus,diehierbetrachtetwerden,sindzumBeispielKIS,LIS,RIS,PACS,DMS,OP-Planungs-system,Transportlogistikusw.
2. Prozessanalyse durchführenPraxistipp:NebendenüblichenKernapplikationenimKranken-haussindauchIT-SystemeundKomponentenausdenBereichenMedizintechnik,Versorgungstechnik(z.B.Wasser-undEnergieversorgung),Kommunikationstech-nik(z. B.RufsystemeundTelefonie)undInformations-technik(z. B.Domänen-Controller,IP-DatennetzwerkeundDrucker)zubeachten.
AufBasisderdurchgeführtenGeschäftsprozessanalyse kannnuneineRisikoanalysederkritischenProzesseer-folgen.EswerdenRisikokatalogeerstellt,diesichausdenAnforderungengängigerNormen(z.B.ISO/IEC27001oder27002)sowiekonkreterServiceprozesse(z.B.AbsicherungderÜbertragungswegevomundzumService)ableitenlassen.
AlleidentifiziertenRisikenwerdenineinzentralesInformati-onssicherheits-Risikomanagementsystemüberführt.NachausführlicherAnalyseundBewertungwerdengeeigneteMaßnahmenzurRisikobehandlungentwickelt.
3. Risikomanagement aufbauenPraxistipp:BeiminitialenAufbaueinesInformationssicherheits-RisikomanagementsystemssindoftmalseinfacheTabellenzurDokumentationundBewertungvonRisikenausreichend.Wichtigistvielmehr,dassSieeinenach-vollziehbareRisikobewertungs-SystematikentwickelnunddiejeweiligeBewertung,dieAuswirkungunddieEintrittswahrscheinlichkeitineigenenWortenbegründen.
87
EinjedesISMSbenötigtentsprechendeLeit-bzw.Richt-linien,dieeinerseitsgenerelleVorgabenenthalten(z.B.Rollen,Verantwortlichkeiten,ManagementCommitmentusw.),aberauchspezifischeRegelndefinieren(z.B. EntscheidungskompetenzeinesMitarbeiters).
4. Vorgaben definierenPraxistipp:DerartigeLeit-bzw.Richtliniensolltennicht„dasBlauevomHimmel“enthalten,sondernderWahrheitundRealitätentsprechen.ZudemsollenVorgabenauchfürdieMitarbeiter„einhaltbar“undnichtpraxisfremdsein.BittebeachtenSie,dassVorgabenauchregelmäßigaufEinhaltungkontrolliertwerdensollten.
DiewichtigstenVorgabenmüsseninderOrganisationbekanntsein.JedemMitarbeitermussklarsein,waserdarfundwasverbotenistbzw.musserverstehen,warumetwasverbotenist.OhneeinpraxistauglichesSchulungskonzeptkannkeindurchgängigesSicherheitsniveauinIhremHauserreichtbzw.dauerhaftsichergestelltwerden!
7. Mitarbeiter schulenPraxistipp:AufgrunddergroßenMitarbeiteranzahlimGesund-heitswesenhatsicheLearningfürdiebreiteMassealspraxistauglichesMittelderWahletabliert.Mitarbeiterkönnendadurchselbstentscheiden,wannundwosieeineSchulungabsolvierenundwerdennichtausderArbeit„herausgerissen“,wennsieeigentlichkeineZeitfüreineSchulunghaben.ZudemlieferneLearning-Sys-temeeineneinfachenNachweisüberdieTeilnahme(an-stelleeinerUnterschriftenliste).FührungskräftekönnenzusätzlichinFormvonWorkshopsgeschultwerden,damitsiedasKnow-howindiejeweiligenFachbereicheweitertragenkönnen.ParallelzurProzessanalyseerfolgtdieDokumentationder
ProzesseundAbläufe.MeistensgibtesbereitsgelebteProzesse,diejedochgroßteilsnichtoderunzureichenddo-kumentiertsind.VielederzudokumentierendenProzessebetreffenprimärdieIT:beispielsweisedasZugriffsmanage-ment(z.B.ActiveDirectory),dieSecurity-Systeme(z. B.Firewall,Virenschutz,Verschlüsselung,Logging,Monito-ring),dasAnforderungs-undBeschaffungsmanagement (z.B.Inventar,IT-Systeme),BackupundRecovery,dasChangeManagement(z.B.PrüfungundFreigabevonÄnderungen),dieDokumentationderInfrastruktur(z.B.Rechenzentrum,NetzwerkundZentralkomponenten),dasPatch-undSchwachstellen-Management(z.B.TestenundAusrollenvonSecurityPatches),derUmgangmitSicherheits-vorfällensowiedasPersonalmanagement(z.B.Berechti-gungsanpassungbeiEin-undAustrittvonMitarbeitern).
5. Abläufe dokumentierenPraxistipp:FührenSiemitdenjeweiligenFachabteilungenWork-shopsinkleinenGruppendurchunddokumentierenSieineinemerstenSchrittdenIst-Stand.NehmenSieeventuelleAbweichungenindasInformationssicher-heits-RisikomanagementaufundbehandelnSiediesedortweiter.
NacherfolgterEinführungeinesISMSmussdiesesgelebtundkontinuierlichverbessertbzw.erweitertwerden.DabeisindmehrereVorkehrungenzutreffen,wiezumBeispieldieDefinitionvonmessbarenKennzahlen(z.B.WievieleMitarbeiternehmenandenSchulungenteil?)oderdieFestlegungvonAudits(z.B.ÜberprüfungvonBerechtigun-genimKIS).DurchdieAuswertungvonKennzahlenundAuditslässtsicheinISMSmessbarmachen,steuernundkontinuierlichverbessern.ZudemsollteauchdasobersteManagementaktivindieVerbesserungdesISMSeinge-bundenwerden.DazueignetsichambesteneinjährlicherManagementReview,alsoeinjährlicherIst-StatusdesISMSmitdenErgebnissenallerAuditsunddenKennzahlensowieVerbesserungsvorschlägen.
8. ISMS kontinuierlich verbessernPraxistipp:VersuchenSie,Kennzahlenmessbarzumachenundgrafischdarzustellen.AussagekräftigeVisualisierun-genstellenoptimaleEntscheidungsgrundlagenfürdasManagementdar.
DieErstellungvonNotfallplänenistineinemKrankenhausunerlässlich,denndiePatientenversorgungmussunterallenUmständengewährleistetsein(zumBeispielStrom-ausfall,Pandemieusw.).DaheristnichtnurdieErstellung,sondernauchdieDurchführungregelmäßigerÜbungenPflicht.NebenherkömmlichenNotfallszenarienwiezumBeispielBrandsolltenauchIT-bezogeneNotfallszenarienbetrachtetwerden(z.B.AusfallallerRechenzentren).
6. Notfallpläne erstellenPraxistipp:VergessenSienicht,IhreNotfallpläneanmehrerenStellenimHausauchinausgedruckterFormgriffbereitzuhalten.DennbeieinemKomplettausfallderITstehenDokumenteindigitalerFormnichtzurVerfügung.
109
ErfahrungenReferenzen&
• EinesehrnützlicheGrundlagefürdenISMS-AufbauineinemKrankenhausistder„BranchenspezifischeSicherheitsstandardfürdieGesundheitsversorgungimKrankenhaus“(B3S)vonderDeutschenKrankenhausgesellschaft.
• DerAufbaudesInformationssicherheits-RisikomanagementsunddieEr-stellungderNotfallplänestelleninderPraxismeistdiegrößtenHürdendar.EinInformationssicherheits-RisikomanagementistinvielenFällennichtvorhandenundmussvondergrünenWiesewegaufgebautwerden,istalsoauchfürdasManagementmeisteinneuesThema.NotfallplänesindzwarinvielenFällenvorhanden,aberoftnichtvollständigbzw.veraltetoderwerdennichtgelebt.
• AufgrunddergroßenMitarbeiteranzahlinKrankenhäusernwerdenMitarbei-terschulungenzudenThemenInformationssicherheitundDatenschutzger-nevernachlässigt.MitEndederÜbergangsfristzurDSGVOistdieWichtigkeitundBedeutungvonSchulungeninsBewusstseingerücktundhatzueinemUmdenkengeführt.eLearning-Plattformenhabensichalsidealeundpraxis-tauglicheLösungherauskristallisiert.
• DieÜberführungderdefiniertenVorgaben,AbläufeundProzesseindenall-täglichenKrankenhausbetriebstellteinegrößereHerausforderungdarunderfordertvielFingerspitzengefühl.
• DerISMS-AufbauistkeinreinesIT-Thema,dennochbetreffenvieleArbeits-paketeeinesISMS-AufbausdieITdirektundmüssenvonIT-Mitarbeiternumgesetztwerden.OftmalssinddiepersonellenRessourcenaufdentechnischenIT-Betriebausgerichtet,dasThemaISMSbetrifftjedochzumGroßteilorganisatorischeAspekte.ZudemsteheninvielenFällenkaummehrpersonelleRessourcenfürdendauerhaftenundnachhaltigenBetriebeinesISMSinderITzurVerfügung.Daherempfiehltessich,hierfüreineninternenoderexternenInformationssicherheitsbeauftragten(CISO)einzusetzenundalseigeneStabsstelledirektderGeschäftsführungzuzuordnen.
Tipps und ErfahrungenAus der Praxis
1211
Auswahl an Kundenreferenzen Das Vorlagen-KomplettpaketDas Ergebnis jahrelanger Erfahrung — für Ihren Erfolg
Leopoldina Krankenhaus der Stadt Schweinfurt GmbH „InZusammenarbeitmitx-tentionwurdeinorganisierterundnachhaltigerWeiseeinISMSinunserekritischenProzesseintegriert.VonAnfanganwardasProjektdurcheineknappeZeitvorgabegeprägt.DierascheundunkomplizierteZusammenarbeitmitx-ten-tionwardeshalbeinewertvolleUnterstützungfüruns.Durchdievonx-tentionbereit-gestelltenISMS-VorlagenkonntenwirdenAufwandzumAufbaueinesISMSdeutlichreduzieren,dadieAnpassungenderDokumentedirektvondenFachbereichendurchge-führtundanschließendzumLebenerwecktwurden.DiebreiteErfahrungausderPraxisunddasflexibleEingehenvonx-tentionaufdieBegebenheiteninunseremKrankenhaushabendazugeführt,dassinkurzerZeiteinISMSaufgebautwurde,dasoptimalzuunspasst.DasEngagementvonallenBeteiligtenwurdeamEndedurcheinausgezeichnetesResultatbeimNachweis-AuditdurchdiePrüfstellebelohnt.“
ThomasBallingMSc|GeschäftsbereichsleitungIT
SRH IT Solutions GmbH „DieVorlagenvonx-tentionwarenunseinegroßeHilfe,inunseremKRITIS-HausinGeraeinnachhaltigesISMSaufzubauen.WirkonntenvielZeitundAufwanddurchdiehervor-ragendaufgebautenVorlagensparen,dieinhaltlichumfassendundbranchenspezifischaufgebautwaren.Damitkonntenwirdiegemäߧ8aBSIGgefordertenNachweisebis30.06.2019erfolgreichundzeitgerechterbringen.“
Dr.StefanMüller|CISO
Marienhospital Stuttgart„MitdemVorlagenpaketunddemKnow-howvonx-tentionistesgelungen,zügigundres-sourcenschonendentsprechendeVorgabenundProzesseimUnternehmenzudefinierenundeinpraxistauglichesISMSaufzubauen.“
StephanRühle|GeschäftsbereichsleitungIT/MTECH
Klinikum Hanau„ImZugederNIS-RichtliniewurdeimKlinikumHanaueinISMSaufgebaut,umdieneuengesetzlichenAnforderungenzuerfüllen.Dabeiwurdeaufx-tentionalskompetenterBera-terzumThemaISMSzurückgegriffen.DurchdievonderFirmax-tentionbereitgestelltenVorlagenkonntederAufwandzurEinführungeinesISMSdeutlichminimiertwerden.DaspositiveResultatbeiderNachweisprüfungbestätigtedieguteZusammenarbeitunddenErfolgdesProjektes.“
HüseyinGökceoglu|IT-Leiter
x-tention stellt seinen Kunden Vorlagen für Richtlinien, Prozessbeschreibungen und andere notwendige Doku-mente bereit und passt diese individuell an die Bedürfnisse und Gegebenheiten der jeweiligen Organisation an.
ErstellungzentralerISMS-Dokumente(z.B.Informationssicherheitspolitik,Nutzungsrichtlinienusw.)
Sicherheitsrichtlinien
DefinitiondergefordertenInformationssicherheitsprozesse(z.B.Backup-Konzept,PatchManage-ment,SecurityIncidentManagementusw.)
Prozessbeschreibungen
ErstellungvonRollendefinitionen,Rollenzuordnungen,Stellvertreter-Regelungenusw.
Rollen und Verantwortliche
MethodikzurRisikoidentifikation,-bewertungund-behandlung,DokumentationvonRisikenundMaßnahmen
Informationssicherheits-Risikomanagement
ErstellungeinesAwareness-Konzepts,SchulungvonMitarbeiternzuThemenderInformationssicherheit
Awareness-Programm
ErstellungeinesAuditprogrammssowieeinerVorlagefürAuditberichte,Definitionvon internenundexternenAudits
Auditplanung
DefinitionundregelmäßigeErhebungvonKennzahlen,EinleitenvonVerbesserungsmaßnahmen
Kennzahlen
RegelmäßigeBerichterstattungandasManagement,EinleitenvonVerbesserungsmaßnahmen
Management Review