ISMS-Einführung in Kliniken

Transkript

1 Blog: Newsletter: Uwe Rühl ISMS-Einführung in Kliniken Einblick in eine Workshop-Reihe zur Einführung von ISO/IEC und ISO/IEC Berlin, 18. April 2018 Public v1.0

2 Worüber sprechen wir? Die Motivation Der Aufbau Die bisherigen Erkenntnisse Das Fazit RUCON Gruppe 2

3 Die Motivation

4 Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter qskills ist ein unabhängiger Trainingsanbieter und auf die Durchführung hochwertiger Schulungen im IT- und IT-Management-Bereich spezialisiert. Die RUCON Management GmbH berät, schult und auditiert branchenübergreifend rund um Organizational Resilience. RUCON Gruppe 4

5 Ein Blick in das BSI-Gesetz 1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. RUCON Gruppe 5

6 Ein Blick in das BSI-Gesetz (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. [ ] (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. [ ] RUCON Gruppe 6

7 Informationssicherheitsmanagementsystem in Kliniken Quelle: International Organization for Standardization RUCON Gruppe 7

8 Quelle: International Organization for Standardization RUCON Gruppe 8

9 Der Aufbau

10 Idee: Begleitung der Kliniken bei der Einführung eines ISMS Workshop/Seminar Templates zur Bearbeitung Eigene Bearbeitungsphasen Begleitende Webinare Begleitendes Coaching RUCON Gruppe 10

11 9 Monate Laufzeit 4 Seminarblöcke Rahmen Max. 12 Teilnehmer 5 Webinare RUCON Gruppe 11

12 Mögliche Ergebnisse Zertifizierungsfähigkeit nach ISO/IEC Prüfbarkeit nach 8a BSI- Gesetz Nachweisbarkeit eines ISMS RUCON Gruppe 12

13 Die großen Meilensteine Ziel Managementbewertung, Verbesserung Risikomanagement, betriebliche Aspekte Kennzahlen, Audit, Schulungen Anwendungsbereich, Leitlinien, Richtlinien RUCON Gruppe 13

14 Teilnehmer IT-Leiterinnen und IT-Leiter oder beauftragte Personen aus der IT Kliniken unterschiedlichster Ausprägung Kritis Nicht-Kritis Mit MVZ Ohne MVZ Reine IT-Dienstleister für Kliniken RUCON Gruppe 14

15 Die bisherigen Erkenntnisse

16 Themen, welche die Teilnehmer besonders bewegen Was ist Stand der Technik? Was heißt Angemessenheit? Wie schneide ich den Anwendungsbereich eines ISMS zurecht? Wie bekomme ich das Thema ins Haus transportiert? Hohe Abhängigkeiten zu Outsourcing-Partnern Was mache ich mit der Medizintechnik? Wie binde ich die Forschenden im Haus ein? RUCON Gruppe 16

17 Taugliches Format und guter Mix aus Theorie Templates und Vorlagen Konkreten Aufgabenstellungen Begleitendem Coaching RUCON Gruppe 17

18 Es bildet sich ein wertvolles Netzwerk! Austausch von Infos z.b. UP Kritis, Verbände Ideen- und Gedankenaustausch Gegenseitige Unterstützung RUCON Gruppe 18

19 Flexible Ausrichtung durch ISO/IEC Durch Einbeziehen ISO/IEC und ISO hohe Relevanz für Klinik IT-Betrieb Möglichkeit der Zertifizierung Potenzielle Möglichkeit auch Richtung BSI IT Grundschutz Überbau für BSI- G 8a Prüfung Nachweis eines ISMS auch ohne Zertifizierung RUCON Gruppe 19

20 Voting Frage Welche Optionen halten Sie für sinnvoll? 1 Zertifizierung des ISMS nach ISO/IEC Zertifizierung des ISMS nach BSI IT Grundschutz Prüfung des Maßnahmen nach BSI-G 8a 4 Nachweis eines ISMS direkt an das BSI RUCON Gruppe 20

21 Erkannte Herausforderungen in den Häusern Teilnehmer erkennen, dass ein ISMS weite Kreise im Haus zieht Unterstützung durch z.b. Management, ärztliche Leitung, Pflegedienstleitung, QM erforderlich Ein vorhandenes QM nach KTQ oder ISO 9001 ist häufig nicht so ideal als Einstieg wie gewünscht (z.b. Prozesslandkarten teilweise sehr grob) Wechselwirkung mit Beratern in den Häusern zur Auslegung der Standards RUCON Gruppe 21

22 Mögliche Verbesserungen am Format Optimierung des Ablaufs und Aufbaus Noch mehr Krankenhaus-Bezug gewünscht Datenschutz soll früh mit einbezogen werden Technische Probleme v.a. mit Plattformen für die Webinare Es können in diesem Format nicht die Detailfragen der technischen Implementierung für jedes Haus detailliert diskutiert werden RUCON Gruppe 22

23 Das Fazit

24 Voting Frage Was halten Sie von diesem Format? 1 Sinnvolles Vorgehen! Feuer frei! 2 Grundsätzlich Ok, aaaaber 3 Nein Danke, das ist nichts für mich! RUCON Gruppe 24

25 Fazit Das Format kommt insgesamt gut an Vor allem die Vernetzung untereinander wird sehr positiv bewertet Es gibt noch einige Verbesserungsmöglichkeiten Das Format könnte auch in anderen Bereichen und Branchen Anwendung finden. RUCON Gruppe 25

26 Blog: Uwe Rühl Lassen Sie uns in Kontakt bleiben! ISMS-Einführung in Kliniken All pictures fotolia.com, Google-Bildersuche and RUCON Group