21

ISMS-Aufbau im Krankenhaus

x-tention.com

x-tention Unternehmensgruppe

Ihr Kontakt zu x-tention

x-tention Informationstechnologie AT +4372422155 office@x-tention.atDE +4982145590320 office@x-tention.deCH +41432226022 info@x-tention.chUK +442039839860 hello@x-tention.co.uk

sofficoDE +4982145590100 info@soffico.de

InterComponentWareDE +4962273850 info@icw.deUS +16502812872 info@icw-global.com

FAKTOR D consultingDE +4982156747434 info@xd-consulting.de

it for industriesAT +43724221550 office@itforindustries.at

TelefonMobilE-Mail

+43 7242 2155 6325+43 664 80009 6325michael.punz@x-tention.at

Michael PunzInformationssicherheit&Datenschutz

Wie geht man ein ISMS-Projekt im Krankenhaus an?

SeitderVerabschiedungderNIS-RichtliniemüssenKran-kenhäuser,diealsBetreiberwesentlicherDienste(KRITIS)eingestuftwerden,einInformationssicherheits-Manage-mentsystem(ISMS)aufbauen.x-tentionunterstütztSiebeiderProjektplanung,demISMS-AufbauundderEinführungmitfachlichemKnow-howsowielangjährigerErfahrung.

43

Der Aufbau eines ISMS ist kein einmaliges Projekt, das einmal umgesetzt und anschließend abgeschlossen ist. Ein ISMS muss laufend betrieben, ak-tualisiert und erweitert werden, denn auch die Bedrohungen und Risiken verändern sich ständig.

Das ISMS-ProjektWorauf muss ich achten?

BeiminitialenISMS-Aufbauprojektisteswichtig,sichnichtimDetailzuverlieren.StartenSiedasISMSineinem„Basis-Setup“undergänzenSiedasSystemimLaufederZeitmitweiterenDetails.

Praxistipp GeradeamBeginneinesISMSgilt,dasswenigeroftmehrist.WennSieIhreOrganisationvonBeginnanmiteinem„ausgewachsenen“ISMSüberfordern,istdieWahrscheinlichkeitgroß,dassdiesesnichtgelebtwirdundzueinem„Papier-tiger“inderSchublademutiert.

Welcher Detailgrad ist beim Aufbau notwendig?

ImKrankenhausbereichorientiertsichderScopeandenKernprozessenzurmedizinischenVersorgungvonPatienten.ÜblicherweisesinddiesdiefünfKernprozesseAufnahme,Diagnose,Therapie,PflegeundEntlassung.SämtlicheRichtlinien,ProzessbeschreibungenundDokumentationensindaufdiesenSco-peabzustimmen,wodurchauchersichtlichwird,dassdieITalleineeinsolchesThemanichtvollumfänglichbewältigenkann.

Wie sieht der Geltungsbereich/Scope aus?

umsetzungProjekt-

65

Ein ISMS-Projekt ist kein reines IT-Thema und betrifft beinahe alle Fachbe-reiche eines Krankenhauses. Im Kernteam sollten sich neben der IT auch Vertreter aus der Medizin- und Haustechnik sowie aus dem Datenschutz und dem Personalwesen wiederfinden. Für das Gelingen eines derartigen Projektes ist es außerdem von großer Wichtigkeit, dass dieses vom obers-ten Management aktiv mitgetragen und als wichtiges Thema kommuni-ziert wird. Zudem sollte bei der Erstellung von Mitarbeitervorgaben nicht die frühzeitige Einbindung des Betriebsrates vergessen werden.

Die ProjektumsetzungWas sind die konkreten Schritte beim ISMS-Aufbau?

Mitarbeiterschulen

Risikomanagement aufbauen

Vorgabendefinieren

ISMSkontinuierlichverbessern

Projekt starten

Prozessanalysedurchführen

Abläufe dokumentieren

Notfallpläneerstellen

1.

2.

3.

4.5.

6.

7.

8.

ZumProjektbeginnerfolgteingemeinsamerKick-off-TerminmitVertreternallerrelevantenFachbereiche(IT,Medizin-undHaustechnik,Datenschutz,Personalwesenusw.)unddemoberstenManagement.BeidiesemTerminwerdenderProjektauftrag,derProjektplanunddie jeweiligenArbeitspaketevorgestellt.

1. Projekt startenPraxistipp:NurmiteinemklarenBekenntnisdesoberstenManage-mentszurWichtigkeiteinesderartigenProjektesisteinerfolgreicherISMS-Aufbaumöglich.

AnschließenderfolgteineAnalysederGeschäftsprozesseunddermedizinischenKernprozesse.Dazuwerdensämt-licheSupportprozesseimHaus,diefürdieSicherstellungderKernprozesse(Aufnahme,Diagnose,Therapie,PflegeundEntlassung)notwendigsind,identifiziert.

DaraufaufbauendwerdenineinemweiterenSchrittdiekriti-schenProzesseerhoben.FürjedenalskritischbewertetenProzesswirdzudemermittelt,welcheIT-UnterstützungzurdauerhaftenServiceerbringungnotwendigist(zumeinenIT-AnwendungenausAnwendersichtundzumanderenIT-KomponentenausIT-Infrastruktur-Sicht).TypischeIT-An-wendungenimKrankenhaus,diehierbetrachtetwerden,sindzumBeispielKIS,LIS,RIS,PACS,DMS,OP-Planungs-system,Transportlogistikusw.

2. Prozessanalyse durchführenPraxistipp:NebendenüblichenKernapplikationenimKranken-haussindauchIT-SystemeundKomponentenausdenBereichenMedizintechnik,Versorgungstechnik(z.B.Wasser-undEnergieversorgung),Kommunikationstech-nik(z. B.RufsystemeundTelefonie)undInformations-technik(z. B.Domänen-Controller,IP-DatennetzwerkeundDrucker)zubeachten.

AufBasisderdurchgeführtenGeschäftsprozessanalyse kannnuneineRisikoanalysederkritischenProzesseer-folgen.EswerdenRisikokatalogeerstellt,diesichausdenAnforderungengängigerNormen(z.B.ISO/IEC27001oder27002)sowiekonkreterServiceprozesse(z.B.AbsicherungderÜbertragungswegevomundzumService)ableitenlassen.

AlleidentifiziertenRisikenwerdenineinzentralesInformati-onssicherheits-Risikomanagementsystemüberführt.NachausführlicherAnalyseundBewertungwerdengeeigneteMaßnahmenzurRisikobehandlungentwickelt.

3. Risikomanagement aufbauenPraxistipp:BeiminitialenAufbaueinesInformationssicherheits-RisikomanagementsystemssindoftmalseinfacheTabellenzurDokumentationundBewertungvonRisikenausreichend.Wichtigistvielmehr,dassSieeinenach-vollziehbareRisikobewertungs-SystematikentwickelnunddiejeweiligeBewertung,dieAuswirkungunddieEintrittswahrscheinlichkeitineigenenWortenbegründen.

87

EinjedesISMSbenötigtentsprechendeLeit-bzw.Richt-linien,dieeinerseitsgenerelleVorgabenenthalten(z.B.Rollen,Verantwortlichkeiten,ManagementCommitmentusw.),aberauchspezifischeRegelndefinieren(z.B. EntscheidungskompetenzeinesMitarbeiters).

4. Vorgaben definierenPraxistipp:DerartigeLeit-bzw.Richtliniensolltennicht„dasBlauevomHimmel“enthalten,sondernderWahrheitundRealitätentsprechen.ZudemsollenVorgabenauchfürdieMitarbeiter„einhaltbar“undnichtpraxisfremdsein.BittebeachtenSie,dassVorgabenauchregelmäßigaufEinhaltungkontrolliertwerdensollten.

DiewichtigstenVorgabenmüsseninderOrganisationbekanntsein.JedemMitarbeitermussklarsein,waserdarfundwasverbotenistbzw.musserverstehen,warumetwasverbotenist.OhneeinpraxistauglichesSchulungskonzeptkannkeindurchgängigesSicherheitsniveauinIhremHauserreichtbzw.dauerhaftsichergestelltwerden!

7. Mitarbeiter schulenPraxistipp:AufgrunddergroßenMitarbeiteranzahlimGesund-heitswesenhatsicheLearningfürdiebreiteMassealspraxistauglichesMittelderWahletabliert.Mitarbeiterkönnendadurchselbstentscheiden,wannundwosieeineSchulungabsolvierenundwerdennichtausderArbeit„herausgerissen“,wennsieeigentlichkeineZeitfüreineSchulunghaben.ZudemlieferneLearning-Sys-temeeineneinfachenNachweisüberdieTeilnahme(an-stelleeinerUnterschriftenliste).FührungskräftekönnenzusätzlichinFormvonWorkshopsgeschultwerden,damitsiedasKnow-howindiejeweiligenFachbereicheweitertragenkönnen.ParallelzurProzessanalyseerfolgtdieDokumentationder

ProzesseundAbläufe.MeistensgibtesbereitsgelebteProzesse,diejedochgroßteilsnichtoderunzureichenddo-kumentiertsind.VielederzudokumentierendenProzessebetreffenprimärdieIT:beispielsweisedasZugriffsmanage-ment(z.B.ActiveDirectory),dieSecurity-Systeme(z. B.Firewall,Virenschutz,Verschlüsselung,Logging,Monito-ring),dasAnforderungs-undBeschaffungsmanagement (z.B.Inventar,IT-Systeme),BackupundRecovery,dasChangeManagement(z.B.PrüfungundFreigabevonÄnderungen),dieDokumentationderInfrastruktur(z.B.Rechenzentrum,NetzwerkundZentralkomponenten),dasPatch-undSchwachstellen-Management(z.B.TestenundAusrollenvonSecurityPatches),derUmgangmitSicherheits-vorfällensowiedasPersonalmanagement(z.B.Berechti-gungsanpassungbeiEin-undAustrittvonMitarbeitern).

5. Abläufe dokumentierenPraxistipp:FührenSiemitdenjeweiligenFachabteilungenWork-shopsinkleinenGruppendurchunddokumentierenSieineinemerstenSchrittdenIst-Stand.NehmenSieeventuelleAbweichungenindasInformationssicher-heits-RisikomanagementaufundbehandelnSiediesedortweiter.

NacherfolgterEinführungeinesISMSmussdiesesgelebtundkontinuierlichverbessertbzw.erweitertwerden.DabeisindmehrereVorkehrungenzutreffen,wiezumBeispieldieDefinitionvonmessbarenKennzahlen(z.B.WievieleMitarbeiternehmenandenSchulungenteil?)oderdieFestlegungvonAudits(z.B.ÜberprüfungvonBerechtigun-genimKIS).DurchdieAuswertungvonKennzahlenundAuditslässtsicheinISMSmessbarmachen,steuernundkontinuierlichverbessern.ZudemsollteauchdasobersteManagementaktivindieVerbesserungdesISMSeinge-bundenwerden.DazueignetsichambesteneinjährlicherManagementReview,alsoeinjährlicherIst-StatusdesISMSmitdenErgebnissenallerAuditsunddenKennzahlensowieVerbesserungsvorschlägen.

8. ISMS kontinuierlich verbessernPraxistipp:VersuchenSie,Kennzahlenmessbarzumachenundgrafischdarzustellen.AussagekräftigeVisualisierun-genstellenoptimaleEntscheidungsgrundlagenfürdasManagementdar.

DieErstellungvonNotfallplänenistineinemKrankenhausunerlässlich,denndiePatientenversorgungmussunterallenUmständengewährleistetsein(zumBeispielStrom-ausfall,Pandemieusw.).DaheristnichtnurdieErstellung,sondernauchdieDurchführungregelmäßigerÜbungenPflicht.NebenherkömmlichenNotfallszenarienwiezumBeispielBrandsolltenauchIT-bezogeneNotfallszenarienbetrachtetwerden(z.B.AusfallallerRechenzentren).

6. Notfallpläne erstellenPraxistipp:VergessenSienicht,IhreNotfallpläneanmehrerenStellenimHausauchinausgedruckterFormgriffbereitzuhalten.DennbeieinemKomplettausfallderITstehenDokumenteindigitalerFormnichtzurVerfügung.

109

ErfahrungenReferenzen&

• EinesehrnützlicheGrundlagefürdenISMS-AufbauineinemKrankenhausistder„BranchenspezifischeSicherheitsstandardfürdieGesundheitsversorgungimKrankenhaus“(B3S)vonderDeutschenKrankenhausgesellschaft.

• DerAufbaudesInformationssicherheits-RisikomanagementsunddieEr-stellungderNotfallplänestelleninderPraxismeistdiegrößtenHürdendar.EinInformationssicherheits-RisikomanagementistinvielenFällennichtvorhandenundmussvondergrünenWiesewegaufgebautwerden,istalsoauchfürdasManagementmeisteinneuesThema.NotfallplänesindzwarinvielenFällenvorhanden,aberoftnichtvollständigbzw.veraltetoderwerdennichtgelebt.

• AufgrunddergroßenMitarbeiteranzahlinKrankenhäusernwerdenMitarbei-terschulungenzudenThemenInformationssicherheitundDatenschutzger-nevernachlässigt.MitEndederÜbergangsfristzurDSGVOistdieWichtigkeitundBedeutungvonSchulungeninsBewusstseingerücktundhatzueinemUmdenkengeführt.eLearning-Plattformenhabensichalsidealeundpraxis-tauglicheLösungherauskristallisiert.

• DieÜberführungderdefiniertenVorgaben,AbläufeundProzesseindenall-täglichenKrankenhausbetriebstellteinegrößereHerausforderungdarunderfordertvielFingerspitzengefühl.

• DerISMS-AufbauistkeinreinesIT-Thema,dennochbetreffenvieleArbeits-paketeeinesISMS-AufbausdieITdirektundmüssenvonIT-Mitarbeiternumgesetztwerden.OftmalssinddiepersonellenRessourcenaufdentechnischenIT-Betriebausgerichtet,dasThemaISMSbetrifftjedochzumGroßteilorganisatorischeAspekte.ZudemsteheninvielenFällenkaummehrpersonelleRessourcenfürdendauerhaftenundnachhaltigenBetriebeinesISMSinderITzurVerfügung.Daherempfiehltessich,hierfüreineninternenoderexternenInformationssicherheitsbeauftragten(CISO)einzusetzenundalseigeneStabsstelledirektderGeschäftsführungzuzuordnen.

Tipps und ErfahrungenAus der Praxis

1211

Auswahl an Kundenreferenzen Das Vorlagen-KomplettpaketDas Ergebnis jahrelanger Erfahrung — für Ihren Erfolg

Leopoldina Krankenhaus der Stadt Schweinfurt GmbH „InZusammenarbeitmitx-tentionwurdeinorganisierterundnachhaltigerWeiseeinISMSinunserekritischenProzesseintegriert.VonAnfanganwardasProjektdurcheineknappeZeitvorgabegeprägt.DierascheundunkomplizierteZusammenarbeitmitx-ten-tionwardeshalbeinewertvolleUnterstützungfüruns.Durchdievonx-tentionbereit-gestelltenISMS-VorlagenkonntenwirdenAufwandzumAufbaueinesISMSdeutlichreduzieren,dadieAnpassungenderDokumentedirektvondenFachbereichendurchge-führtundanschließendzumLebenerwecktwurden.DiebreiteErfahrungausderPraxisunddasflexibleEingehenvonx-tentionaufdieBegebenheiteninunseremKrankenhaushabendazugeführt,dassinkurzerZeiteinISMSaufgebautwurde,dasoptimalzuunspasst.DasEngagementvonallenBeteiligtenwurdeamEndedurcheinausgezeichnetesResultatbeimNachweis-AuditdurchdiePrüfstellebelohnt.“

ThomasBallingMSc|GeschäftsbereichsleitungIT

SRH IT Solutions GmbH „DieVorlagenvonx-tentionwarenunseinegroßeHilfe,inunseremKRITIS-HausinGeraeinnachhaltigesISMSaufzubauen.WirkonntenvielZeitundAufwanddurchdiehervor-ragendaufgebautenVorlagensparen,dieinhaltlichumfassendundbranchenspezifischaufgebautwaren.Damitkonntenwirdiegemäߧ8aBSIGgefordertenNachweisebis30.06.2019erfolgreichundzeitgerechterbringen.“

Dr.StefanMüller|CISO

Marienhospital Stuttgart„MitdemVorlagenpaketunddemKnow-howvonx-tentionistesgelungen,zügigundres-sourcenschonendentsprechendeVorgabenundProzesseimUnternehmenzudefinierenundeinpraxistauglichesISMSaufzubauen.“

StephanRühle|GeschäftsbereichsleitungIT/MTECH

Klinikum Hanau„ImZugederNIS-RichtliniewurdeimKlinikumHanaueinISMSaufgebaut,umdieneuengesetzlichenAnforderungenzuerfüllen.Dabeiwurdeaufx-tentionalskompetenterBera-terzumThemaISMSzurückgegriffen.DurchdievonderFirmax-tentionbereitgestelltenVorlagenkonntederAufwandzurEinführungeinesISMSdeutlichminimiertwerden.DaspositiveResultatbeiderNachweisprüfungbestätigtedieguteZusammenarbeitunddenErfolgdesProjektes.“

HüseyinGökceoglu|IT-Leiter

x-tention stellt seinen Kunden Vorlagen für Richtlinien, Prozessbeschreibungen und andere notwendige Doku-mente bereit und passt diese individuell an die Bedürfnisse und Gegebenheiten der jeweiligen Organisation an.

ErstellungzentralerISMS-Dokumente(z.B.Informationssicherheitspolitik,Nutzungsrichtlinienusw.)

Sicherheitsrichtlinien

DefinitiondergefordertenInformationssicherheitsprozesse(z.B.Backup-Konzept,PatchManage-ment,SecurityIncidentManagementusw.)

Prozessbeschreibungen

ErstellungvonRollendefinitionen,Rollenzuordnungen,Stellvertreter-Regelungenusw.

Rollen und Verantwortliche

MethodikzurRisikoidentifikation,-bewertungund-behandlung,DokumentationvonRisikenundMaßnahmen

Informationssicherheits-Risikomanagement

ErstellungeinesAwareness-Konzepts,SchulungvonMitarbeiternzuThemenderInformationssicherheit

Awareness-Programm

ErstellungeinesAuditprogrammssowieeinerVorlagefürAuditberichte,Definitionvon internenundexternenAudits

Auditplanung

DefinitionundregelmäßigeErhebungvonKennzahlen,EinleitenvonVerbesserungsmaßnahmen

Kennzahlen

RegelmäßigeBerichterstattungandasManagement,EinleitenvonVerbesserungsmaßnahmen

Management Review