Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele und Anforderungen 203 StGB Vertraulichkeit ISMS Informationssicherheits- Managementsysteme SLAs LDSG Verfügbarkeit Liefer termine Geschäftsg eheimnis Datenschutz Basel II GDPdU Integrität Nicht Abstreitbarkeit BDSG KonTraG SOX Authentizität Revision
Anwendbarkeit von Regelungen für die elektronische Patientenakte Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 3
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 4 ISMS Das ISMS hat die Aufgabe das Erreichen der Systemziele Verfügbarkeit Vertraulichkeit Integrität (Authentizität) (Nicht-Abstreitbarkeit) dauerhaft zu sichern, messbar zu machen und zu verbessern
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 5 Warum ISMS? Reduzierung von Haftungsrisiken AktG, KonTraG, usw. Compliance Sicherstellung der Einhaltung von gesetzlichen Vorgaben Erfüllung von vertraglichen Vorgaben Verbessertes Qualitätsmanagement Wer schreibt, der bleibt! Messbarkeit von Prozessen KPI Benchmarking Marketing
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 6 Standards für ein ISMS BS 7799 Britischer Standard Vorgänger für ISO 27001 Besteht aus zwei Teilen BSI 100-1 Deutscher Standard Wird durch drei weitere Standards ergänzt CobiT ISM 3 Framework für IT-Governance Framework für Informationssicherheits-Managment Legt Schwerpunkt auf Einklang mit Geschäftszielen ISO/IEC 27001:2005... Internationaler Standard für ISMS (auch als DIN Standard) Hervorgegangen aus dem BS 7799
ISO 2700x Standardfamilie Christian Schmitz 22. Februar 2011 Copyright 2000-2011, AuthentiDate International AG Seite 7
Christian Schmitz 22. Februar 2011 Copyright 2000-2011, AuthentiDate International AG Seite 8 Die Kontrollziele der ISO 27001 ( Policy Sicherheitsleitlinie (Security ( security Organisation der Informationssicherheit (organizing information ( Management Schützenswerte Objekte (Asset ( Security Personelle Sicherheit (Human Ressource Physische und umgebungsbezogenen Sicherheit (Physical and Environmental ( Security ( Management Management des Betriebs (Communication and Operations ( Control Zugriffskontrolle (Access Beschaffung, Entwicklung und Wartung von Systemen (Information Systems Acquisition, Development and Maintenance) ( management Notfallmanagement (Information Security Incident ( Management Betriebsfortführung (Business Continuity ( Compliance ) Einhaltung von Vorschriften
Vorgehensweise nach ISO/IEC 27001:2005 Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 9
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 10 Zertifizierung nach ISO 27001 Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Die Einhaltung der Norm ISO 27001 wird von freien, unabhängigen Institutionen / neutralen Stellen überprüft, den sog. Zertifizierungsstellen. In Deutschland überwacht die Trägergemeinschaft für Akkreditierung (TGA mbh) unabhängig alle akkreditierten Zertifizierungsstellen.
Christian Schmitz 22. Februar 2011 Copyright 2000-2011, AuthentiDate International AG Seite 11 BSI IT-Grundschutz Standards BSI 100-1: Managementsysteme für Informationssicherheit BSI 100-2: IT-Grundschutz Vorgehensweise BSI 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI 100-4: Notfallmanagement
Vorgehensweise ISO 27001 auf Basis IT- Grundschutz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 12
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 13 ISO 27001 Zertifizierung auf Basis IT-Grundschutz Die BSI-Zertifizierung umfasst sowohl eine Prüfung des Managementsystems für Informationssicherheit als auch die Prüfung der konkreten Sicherheitsmaßnahmen auf Basis von IT- Grundschutz. Die BSI-Zertifizierung beinhaltet dabei immer eine offizielle ISO- Zertifizierung nach ISO 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO- Zertifizierung.
TÜV Zertifikat Geprüfter Datenschutz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 14
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 15 TÜV Prüfsiegel Basierend auf neutralen Überprüfungen können kompetente Aussagen zu besonderen Merkmalen getroffen und die Ergebnisse in Form eines TÜV-Zertifikats dokumentiert werden. Zertifizierungsfähig sind Eigenschaften von Produkten und Dienstleistungen, die objektiv messbar und reproduzierbar sind. Ausgeschlossen von der Zertifizierung sind triviale, verallgemeinernde oder sittenwidrige Aussagen sowie die Wiederholung von Selbstverständlichkeiten.
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 16 Vor-/Nachteile ISO 27001 Vorteile Internationaler Standard Weltweite Anerkennung Vergleichsweise hohe Freiräume für die Umsetzung Nachteile Je nach Zielgruppe geringer Bekanntheitsgrad (z.b. Patienten, usw.)
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 17 Vor-/Nachteile ISO 27001 auf Basis IT-Grundschutz Vorteile Hohes nationales Ansehen Hoher Stellenwert bei Aufsichtsbehörden Nachteile Lange Umsetzungsphase Vergleichsweise geringer Freiraum bei der Umsetzung. International weniger bekannt
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 18 Vor-/Nachteile TÜV Prüfsiegel Vorteile Hoher Bekanntheitsgrad der Marke TÜV Hohe Glaubwürdigkeit in der Bevölkerung Nachteile Weniger hohes Ansehen in der Fachwelt Vielzahl von Zertifikaten kann Glaubwürdigkeit verringern
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 19 Gegenüberstellung ISO 27001 Zertifikat ISO 27001 auf Basis IT-Grundschutz TÜV Prüfsiegel Aufwand Zertifizierungsaudit Min. 10 PT Min. 20-30 PT Ca. 5 PT Zertifizierungsstelle Akkreditierte Prüfstelle Bundesamt für Sicherheit in der Informationstechnik (BSI) Aufwand Umsetzung Je nach Geltungsbereich Je nach Geltungsbereich bzw. IT- Verbund Vorlaufzeit Min. 3 Monate Empfohlen 18-24 Monate (schneller möglich) TÜV Saarland Je nach Geltungsbereich Min. 4 Wochen Bearbeitungszeit Zertifizierungsstelle Ca. 2 4 Wochen Ca. 6 12 Wochen Ca. 2 Wochen Vorgehensweise Nach ISO-Standard (Umsetzungsspielraum gegeben) IT-Grundschutz Standard (detaillierte Vorgaben) Umsetzung des TÜV Prüfkatalogs
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 20 Projektablauf Phase 1 ca. 2-6 Monate Phase 2 ca. 2-24 Monate
Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 21 Vorteile TÜV Prüfsiegel stellt einen ersten Meilenstein dar Kurzfristigeres Ziel Projektverantwortliche können erfolgreichen Projektverlauf gegenüber Vorgesetzten o. ä. belegen Motivation der Projektmitarbeiter TÜV Prüfsiegel als Nachweis gegenüber Dritten verwendbar Frühzeitige Werbemaßnahmen möglich
Vielen Dank für Ihre Aufmerksamkeit Christian Schmitz AuthentiDate International AG Rethelstraße 47 40237 Düsseldorf Phone +49 (0)211-43 69 89-0 info@authentidate.de www.authentidate.de Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 22