Managementsysteme für Informationssicherheit und Datenschutz (ISMS) im Gesundheitswesen

Dossier zum Patientendatenschutz-Gesetz

Hintergrund Gitternetz
Security-Berater informiert zu ISMS - Informationssicherheitsmanagement-Systemen

Um Informationssicherheit und Datenschutz angemessen, planbar, strukturiert und nachhaltig umsetzen, bedarf es für Organisationen in der Größe eines Krankenhauses der Implementierung eines Managementsystems für Informationssicherheit und Datenschutz (ISMS).

Dies kann ggf. in ein bestehendes Compliance Management System (CMS) oder in ein bestehendes Qualitätsmanagementsystem (QMS) integriert werden.

Umsetzung eines ISMS in fünf Schritten

1. Ist-Analyse
Im ersten Schritt werden alle relevanten Systeme und Prozesse zusammengetragen und deren Reifegrad ermittelt. So erhalten die Krankenhausbetreiber eine Übersicht aller vorhandenen Sicherheitslücken.

2. Risikoaudit
Um die Anforderung an ein angemessenes Schutzniveau zu gewährleisten, gilt es, zudem ein Risikoaudit durchzuführen. Hierbei werden die ermittelten Sicherheitslücken auf die Wahrscheinlichkeit eines Vorfalls sowie die Schwere der Auswirkung geprüft. Nicht jede Sicherheitslücke muss sofort geschlossen werden. Sind das Risiko eines Vorfalls oder die Schwere der Auswirkungen gering, kann ein Risiko auch bewusst akzeptiert werden.

3. Entwicklung geeigneter Maßnahmen
Auf Basis der ersten beiden Schritte werden nun Maßnahmen für die Schließung von Sicherheitslücken entwickelt. Diese können sowohl technisch als auch organisatorisch sein und beziehen in der Regel alle Abteilungen mit ein.

4. Umsetzung der Maßnahmen
Es empfiehlt sich, den Fokus auf die strukturierte Umsetzung der Maßnahmen zu legen. Hierzu gehört zum einen ein funktionierendes Security Projektmanagement, zum anderen der Aufbau eines IT-Sicherheitsteams, das sich dieser Aufgabe widmet und Verantwortung übernimmt. Da die Maßnahmen in der Regel alle Abteilungen des Krankenhauses betreffen, sollten Mitarbeiter vorab in Informationsveranstaltungen für die kommenden Schritte sensibilisiert und im besten Fall schon in die Ist-Analyse mit einbezogen werden. So kann auch Akzeptanz für die Änderung von Vorgehensweisen und Prozessen geschaffen werden. Wichtig ist die regelmäßige Dokumentation der Umsetzung von Maßnahmen.

5. Kontrolle und Optimierung der getroffenen Maßnahmen
Der Gesetzgeber schreibt vor, dass die getroffenen Maßnahmen mindestens alle zwei Jahre auf ihre Wirksamkeit geprüft werden müssen. Es empfiehlt sich, einmal pro Jahr ein Sicherheits-Audit durchzuführen. Hieraus ergeben sich eventuell neue Risiken, die durch die Entwicklung und Umsetzung geeigneter Maßnahmen minimiert werden können.
Profilbild mit Unterzeile von Carsten Marmulla, Managing Partner & Senior Trusted Advisor

Mein Angebot: kostenfreie Expertenberatung!

Gerne unterstütze ich Sie bei der Entwicklung und Implementierung eines Managementsystems für Informationssicherheit und Datenschutz.

+49 (0)201 426 385 905

Kontakt aufnehmen

Zurück zur Themenübersicht

Sie haben Fragen?
Kontaktieren Sie Ihren persönlichen Ansprechpartner.

Ihr persönlicher Ansprechpartner

Profilbild Carsten Marmulla Geschäftsführer carmasec

Carsten Marmulla

+49 (0)201 426 385 900 Y29udGFjdEBjYXJtYXNlYy5jb20=
Hintergrund Gitternetz