Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO auf Basis von IT-Grundschutz

Größe: px

Ab Seite anzeigen:

Download "Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz"

Klemens Glöckner
vor 8 Jahren
Abrufe

1 Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting

Vortsellung des Projektes 1.428 Betten >58.000 stationäre Fälle >135.000 ambulante Fälle 35 Kliniken und Abteilungen >3.

2 Vortsellung des Projektes Betten > stationäre Fälle > ambulante Fälle 35 Kliniken und Abteilungen >3.700 Beschäftigte 4 Standorte und div. Tochtergesellschaften 3 Standortekonzept bis 2020 Metropolitan Area Network Speichernetzwerk Elektronische Patientenakte EPA SAN / NAS

3 Vorstellung des Projektes. das bedeutet aus Sicht des Kommunikationsservers. Ensemble Test- und Produktivsystem 80 Schnittstellen SAP HCM, SAP BAPI, HL7 60% der Schnittstellen sind im Produktivbetrieb Okober 14 August 15 HCM 7 Mio. Nachrichten HL7 10 Mio. Nachrichten

Ensemble Test- und Produktivsystem 80 Schnittstellen SAP HCM, SAP

4 Vorstellung des Projektes Betriebssystem: Suse Enterprise Linux Separate Apache Webserver Authentisierung der Administratoren und Support-Mitarbeiter über LDAP Clientzugriffe verschlüsselt (TLS)

5 Motivation und Hintergründe Die jüngste Entwicklung zum Thema Informations-Sicherheit am Klinikum 2004 Übertragung der Verantwortlichkeit für die IT-Sicherheit als Ganzes an den Leiter der IT-Abteilung externes Security Audit (PWC) 2005 Projektstart Einführung Archivsystem 2006 Verabschiedung des ersten IT-Rahmenkonzeptes 2007 Betriebsvereinbarung IT-Sicherheitsrichtlinie 2008 Zertifizierung des IT-Verbundes Archivsystem durch das BSI Bestellung des externen IT-Sicherheitsbeauftragten 2011 Re-Zertifizierung des Verbundes 2012 Erweiterung um PDMS zum Überwachungsaudit 2013 Zweites Überwachungsaudit 2015 Re-Zertifizierung des Verbundes mit Erweiterung um Ensemble

Betriebsvereinbarung IT-Sicherheitsrichtlinie 2008 Zertifizierung des IT-Verbundes Archivsystem durch das BSI Bestellung des externen IT-Sicherheitsbeauftragten 2011

6 Motivation und Hintergründe Zertifizierung Warum? Externer Nachweis, dass alle Maßnahmen nach dem aktuellen Stand der Technik ergriffen wurden, um der übertragenen Verantwortung gerecht zu werden. Konkrete Vorteile und Nutzen: Überprüfung und Rechtfertigung von Maßnahmen Erkennung von Mängeln Andere Perspektive durch Einbeziehung Dritter Belegung des Handelns für den Fall der Fälle Lerneffekte für die EN80001 Vorbereitung auf das IT-Sicherheitsgesetz Die Gunst der Stunde: Systemlieferanten haben sich zur Unterstützung verpflichtet Aufwand war eingrenzbar Übergabe der Verantwortlichkeit für die IT-Sicherheit an den Leiter IT

Konkrete Vorteile und Nutzen: Überprüfung und Rechtfertigung von Maßnahmen Erkennung von Mängeln Andere Perspektive durch Einbeziehung Dritter Belegung des

7 Der aktuelle Verbund 2015

8 Schichtenmodell des BSI Schichtbezeichnung Übergreifende Aspekte Themenbeispiele Leitlinie zur Informationssicherheit, Konzepte z.b. zu Datensicherung und Virenschutz, Notfallhandbuch, Outsourcing, Personal, Patch- und Änderungsmanagement Sicherheit der Infrastruktur Sicherheit der IT- Systeme Gebäude, Serverräume, Infrastrukturräume, Spannungsversorgung, Klimatisierung, Brandschutz Allgemeine Server, UNIX - bzw. Windows -Systeme, PCs und ihre Betriebssysteme, Drucker und Kopierer, Mobiltelefone Sicherheit im Netz Netzwerk, Wireless LAN, Voice Over IP, Fernzugriffe Sicherheit in Anwendungen Webserver, Datenbanken, Groupware, SAP-Systeme, Datensicherungssoftware

9 Toolunterstützung Erfassung aller Objekte Zuordnung der Maßnahmen- und Gefährdungskataloge Objektverknüpfungen Berichtserstellung

10 Toolunterstützung

11 Wichtige BSI - Referenzdokumente Werden durch den Geschäftsführer unterzeichnet! Risikoanalyse Gesamtübersicht aller Gefährdungen und Detail-Ergebnisse der entsprechenden Gefährdungsbewertungen Risikoentscheidung Zusammenfassung aller Gefährdungsbewertungen Risikobehandlungsplan Zusammenfassung aller erkannten Risiken mit Einschätzung und geplanter Umsetzung der risikominimierenden Maßnahmen

Gefährdungsbewertungen Risikoentscheidung Zusammenfassung aller Gefährdungsbewertungen

12 Wichtige BSI - Referenzdokumente Risikoanalyse >> Ersetzen durch Ensemble Gefährdung G Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement Prüfkriterien Vollständigkeit Nein Sämtliche Verantwortlichkeiten im Change Management Prozess (Bereich RZ) sind schriftlich definiert. Andere Bereiche sind noch nicht berücksichtigt. Mechanismenstärke Ja siehe Vollständigkeit Zuverlässigkeit Ja Die Richtlinie zur Einführung des Change Management ist für alle Mitarbeiter im Bereich RZ verpflichtend. Ausreichender Schutz (OK): Nein

Verantwortlichkeiten im Change Management Prozess (Bereich RZ) sind schriftlich definiert. Andere Bereiche sind noch nicht berücksichtigt.

13 Wichtige BSI - Referenzdokumente Risikoentscheidung >> ersetzen durch Beispiel Ensemble Gefährdungen: Nr. Name OK Risikobehandlung Begründung G Mangelhaft festgelegte Nein C. Risiko- Das Change Management ist Verantwortlichkeiten beim Patch- und Änderungsmanagement Übernahme derzeit auf den Bereich RZ begrenzt, wird jedoch sukzessive ausgeweitet. Der betrachtete Verbund ist durch das bestehende Change Management weitestgehend abgedeckt.

Risiko- Das Change Management ist Verantwortlichkeiten beim Patch- und Änderungsmanagement Übernahme derzeit

14 Wichtige BSI - Referenzdokumente Risikobehandlungsplan >> ersetzen durch Beispiel Ensemble Beispiel: G Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement Das Change Management ist derzeit auf den Bereich RZ begrenzt, wird jedoch sukzessive ausgeweitet. Der betrachtete Verbund ist durch das bestehende Change Management weitestgehend abgedeckt. => Restrisiko

133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement Das Change

15 Vielen Dank für Ihre Aufmerksamkeit! Dr. Pierre-Michael Meier März AG Vorstand

Ähnliche Dokumente

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit