der Informationssicherheit



Ähnliche Dokumente
Patrick Bartsch. Verbesserung. der Patientensicherheit. im Krankenhaus

Reihe: Supply Chain, Logistics and Operations Management Band 1. Herausgegeben von Prof. Dr. Dr. h. c. Wolfgang Kersten, Hamburg

Wertschöpfungskonfiguration im internationalen Kontext

Petri-Netzbasierte Modellierung und. Analyse von Risikoaspekten in. Zur Erlangung des akademischen Grades eines. Doktors der Wirtschaftswissenschaften

Informationssicherheit im Krankenhaus eine prozessorientierte Analyse der Patientendaten

2 Begriffliche und theoretische Grundlagen... 9

Mit einem Geleitwort von Prof. Dr. Helmut Krcmar

Inhaltsverzeichnis. Vorwort der Herausgeberin... VII. Vorwort... IX. Inhaltsverzeichnis... XI. Abbildungsverzeichnis... XVII

Christoph Puls. Zielorientiertes Management. von Logistikdienstleistungen in. Netzwerken kooperierender. Unternehmen

Implementierung eines steuerlichen Risikomanagementsystems

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung

IT-Grundschutz nach BSI 100-1/-4

Identifikation von Erfolgsfaktoren und Ableitung von Handlungsempfehlungen für die Implementierung eines Qualitätsmanagementsystems in der Apotheke

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der

Integrierte Nutzenanalyse zur Gestaltung computergestützter Informationssysteme

Gordana Bjelopetrovic

Elektronische Patientenakte

Prozessmanagement für Dienstleistungen

Yvonne Höfer-Diehl. Hochs chulcontrolling. %ur Sicherung der Lehreffektivität

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

Michael Trübestein. Real Estate Asset Management für institutionelle Investoren

Effiziente Gestaltung bankspezifischer CRM-Prozesse

Customer Information Management

Instrumente des Supply Chain Controlling

Handbuch Interne Kontrollsysteme (IKS)

Management in gesetzlichen Krankenkassen

IT-Sicherheit in der Energiewirtschaft

Der IT Security Manager

Miriam Heckmann. Dynamische Fähigkeiten im. Strategischen HRM: Zugrunde liegende HR-Prozesse. und Wirkungen. Eine qualitative Einzelfallstudie

Managementprozesse und Performance

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

2 Einführung und Grundlagen 5

Rückverfolgbarkeitssysteme in der Ernährungswirtschaft

Servicebasierte Planung und Steuerung der IT-Infrastruktur im Mittelstand

Abbildungsverzeichnis. Abkürzungsverzeichnis. 1 Einleitung Problematik der Fertigungsplanung im Bauwesen 1

Kundenbindung im gewerblichen Automobilmarkt

Inhaltsübersicht... V. Inhaltsverzeichnis... VI. Abbildungsverzeichnis... XIII. Tabellenverzeichnis... XVII. Abkürzungsverzeichnis...

Technische Aspekte der ISO-27001

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

2.2 Wirtschaftliche Rahmenbedingungen der Elektronikindustrie Konstituierende Bestimmungsfaktoren der Gestaltung von Systemen

Technische Universität München Fachgebiet Dienstleistungsökonomik. Strategisches Kooperationsmanagement von Wirtschaftsverbänden.

Markenerfolg durch Brand Communities

Strategisches Supply Chain Controlling in der Automobilwirtschaft

Auswirkungen steuerlicher Zinsabzugsbeschränkungen auf Finanzierungsentscheidungen von Unternehmen

INHALTSVERZEICHNIS. Geleitwort. Inhaltsübersicht

Inhaltsverzeichnis. Abbildungsverzeichnis... XVI. Tabellenverzeichnis... XIX. Abkürzungsverzeichnis... XX. Variablen- und Symbolverzeichnis...

Geleitwort... III. Danksagung... V. Inhaltsverzeichnis...VII. Abkürzungsverzeichnis... XIII. Abbildungsverzeichnis... XV. Tabellenverzeichnis...

Rückverfolgbarkeit von Lebensmitteln am Beispiel von Fleisch und Fleischwaren

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Prozess- und wertorientiertes Controlling von M&A-Projekten

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Umweltfokussiertes Supply Chain Management

Zentrum für Informationssicherheit

Inhaltsverzeichnis VII

Marcel Goelden. Spitzensport als. biografische Information bei. Mit einem Geleitwort von Prof. Dr. Gerhard Schewe

IT-Sicherheit kompakt und verständlich

Tobias Haupt. Social Media Marketing und Kapitalisierungsmöglichkeiten im Spitzensport

Peter Adolph. Die finanzielle Berichterstattung von Herstellerleasing nach International Financial Reporting Standards (IFRS) Verlag Dr.

Modellgestützte strategische Planung von Produktionssystemen in der Automobilindustrie

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

2 THEORETISCHE GRUNDLAGEN ZUM KUNDENBINDUNGSMANAGEMENT 11

Nicolas Heidtke. Das Berufsbild des Spielervermittlers im professionellen Fußball

Denise Rtihl. Koordination im. Kampagnenmanagement. Verlag Dr. Kovac

Geschäftsprozesse als Steuerungsinstrument für die Bürgerund Mitarbeiterorientierung in der hoheitlichen Verwaltung

Datenqualitätsmanagement im Customer Relationship Management

Katrin Lieber. Six Sigma in Banken

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Qualitätsmanagementsysteme im Gesundheitswesen

Strategisches Prozesscontrolling

-Kampagnen im Customer Relationship Management

Risikomanagement für IT-Projekte

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Organisatorische Gestaltung in der Post Merger Integration

1.3. Patientenorientiertes Be/.iehungsmanagcment als Schlüssel eines erfolgreichen Pharmamarketing 6

Inhaltsverzeichnis... XI. Abbildungsverzeichnis... XV. Tabellenverzeichnis... XIX. Abkürzungsverzeichnis... XXIII. Symbolverzeichnis...

Risikomanagement IT-vernetzter Medizinprodukte

Prozesskostenrechnung in Banken unter besonderer Berücksichtigung der Eigenkapitalkosten

Supply Chain Finance. Dr. Tobias Metze. Die wertorientierte Analyse und Optimierung des Working Capital in Supply Chains

Methode zur Rahmenplanung der Einführung von CRM-Systemen in produktorientierten, diversifizierten Industrieunternehmen.

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

Die Vergütung von Logistik- Führungskräften

Inhaltsverzeichnis. 1 Einleitung 1

Die Auflösung von Aktienfonds

Dr. Nadine Amende. Nutzenmessung der. geografischen. Informationsvisualisierung. in Verbindung mit der. Informationssuche

Dr. Silvia Adelhelm. Geschäftsmodellinnovationen. Eine Analyse am Beispiel der mittelständischen Pharmaindustrie

Projektauszüge. Bundesbehörde. Bundesbehörde (Senior Manager Consultant)

PPS bei tourenorientiertem Prozessmanagement

Funktionale Sicherheit in der Praxis

Steuerung von Gaspreisrisiken

rücker + schindele Ingenieurdienstleistungen Unternehmensberatung

Wandlungsfähigkeit von Enterprise Content Management

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

Kleine Wirtschaftsprüfungsunternehmen

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Umsetzung des ISMS bei DENIC

Optionen in Lebensversicherungsprodukten

Transkript:

Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag Dr. Kovac Hamburg 2014

IX INHALTSVERZEICHNIS Abbildungsverzeichnis T abellenverzeichnis Beispielverzeichnis Anhangsverzeichnis Abkürzungsverzeichnis XV XIX XX XXII XXIII 1 EINLEITUNG 1 1.1 Problemstellung und Motivation 1 1.2 Ziele der Arbeit 2 1.3 Vorgehen und Aufbau der Arbeit 2 2 THEORETISCHE ASPEKTE DER INFORMATIONSSICHERHEIT IM KRANKENHAUS 5 2.1 Datenschutz und Datensicherheit im deutschen Krankenhaus 5 2.1.1 Historische Entwicklung des Datenschutzes 6 2.1.2 Schutzwerte Gesundheitsinformationen 9 2.1.3 Einwilligung des Patienten 9 2.2 Rechtliche Regelungen des Datenschutzes für deutsche Krankenhäuser 13 2.2.1 Datenschutzrechtliche Regelungen 13 2.2.2 Regelungen zur ärztlichen Schweigepflicht 16 2.2.3 Datenschutzprinzipien 19 2.2.4 Datenschutzrechtliche Vorgaben bei elektronischer Dokumentation 20 2.3 Datenschutz und Datensicherheit - Ziele, Schwachstellen und Maßnahmen 22 2.3.1 Begriffsdefinition Datenschutz 23 2.3.2 Begriffsdefinition Datensicherheit 24 2.3.3 Begriffsdefinition Informationssicherheit 25 2.3.4 Sicherheitsziele 29

X 2.3.5 Bedrohungen, Schwachstellen und Maßnahmen im Gesundheitswesen 32 2.3.5.1 Bedrohungen 34 2.3.5.2 Schwachstellen 34 2.3.5.3 Maßnahmen 35 2.4 Standards der Informationssicherheit im Krankenhaus 36 2.4.1 Normen der ISO 27x-Reihe 37 2.4.1.1 E 1SO/1EC 27000:2010-05: Informationstechnik IT- Sicherheitsverfahren Informationssicherheits- Managementsysteme -Überblick und Terminologie 37 2.4.1.2 DIN ISO/IEC 27001:2008-09: Informationstechnik - IT- Sicherheitsverfahren - Informationssicherheits- Managementsysteme - Anforderungen 38 2.4.1.3 DIN ISO/IEC 27002:2008-09: Informationstechnik - IT- Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management 40 2.4.1.4 ISO/IEC 27003:2010-02 (E): Information technology - Security technique Information security management system Implementation guide 40 2.4.1.5 ISO/IEC 27004:2009-12 (E): Information technology - Security techniques - Information security management - Measurements 41 2.4.1.6 ISO/IEC 27005:2008-6 (E): Information technology - Security techniques - Information security risk management 41 2.4.1.7 DIN EN ISO 27799:2008-10: Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 42 2.4.2 BSI-Standards 43 2.4.2.1 1SMS nach IT-Grundschutz 45 2.4.2.2 IT-Sicherheitskonzept nach IT-Grundschutz 48 2.4.3 Normen des Risikomanagements 49 2.4.3.1 Risikomanagement nach DIN ISO 31000 50 2.4.3.2 Risikomanagement nach ISO/IEC 27005 53 2.4.3.3 DIN EN 80001-1 54

2.5 Zusammenfassung und Auswahl relevanter Normen und Standards 55 3 ENTWICKLUNG EINER GANZHEITLICHEN METHODE ZUR PROZESSORIENTIERTEN RISIKOANALYSE IM KRANKENHAUS 57 3.1 Aufbau eines Informationssicherheits-Managementsystems (ISMS) im Krankenhaus 57 3.1.1 Einführung eines ISMS 59 3.1.2 Umsetzung und Nutzung eines ISMS 64 3.1.3 Überwachung und Überprüfung eines ISMS 67 3.1.4 Pflege und Verbesserung eines ISMS 70 3.2 Risikomanagement als Kernprozess eines Informationssicherheits-Managementsystems 71 3.2.1 Begriff Risiko im Gesundheitswesen 71 3.2.2 Begründungsansätze für das Risikomanagement 74 3.2.3 ISO-konformes Risikomanagement 76 3.2.3.1 Top Down-Ansatz 76 3.2.3.2 Bottom Up-Ansatz 77 3.2.3.3 Top Down- und Bottom Up-Ansatz als Konzept für das Informationssicherheitsmanagement im Krankenhaus 78 3.3 Potenziale einer prozessorientierten Vorgehensweise im Krankenhaus 80 3.3.1 Sicherheitsmanagement als Geschäftsprozess 81 3.3.2 Geschäftsprozesse als interpersonales Kommunikationsmedium 83 3.3.3 Erweiterung des Analyse- und Gestaltungsbereichs 84 3.3.3.1 Ableitung und Konkretisierung von Sicherheitszielen 84 3.3.3.2 Geschäftsprozesse als Untersuchungsobjekte 87 3.3.3.3 Geschäftsprozesse als Gestaltungsobjekte 88 3.3.4 Risikoidentifikation im Rahmen der Geschäftsprozessmodellierung 89 3.3.4.1 ARIS-Software 89 3.3.4.2 ARIS-Konzept und Erweiterungen 90 3.3.4.3 Das ARIS-Phasenmodell 95 XI

XII 3.3.4.4 Identifikation von Informationswerten 96 3.3.4.5 Identifikation und Dokumentation von Bedrohungen und Schwachstellen 99 3.4 Zusammenfassung 100 4 SOFTWARE-WERKZEUGE UND -SYSTEME ZUR UNTERSTÜTZUNG DES RISIKOMANAGEMENTS IM RAHMEN DES ISMS 103 4.1 GSTOOL 105 4.1.1 Stammdatenpflege 107 4.1.2 Schutzbedarfsfeststellung 108 4.1.3 IT-Grundschutzanalyse 108 4.1.4 Ergänzende Sicherheitsanalyse 1'0 4.2 GRAMM Tool 111 4.2.1 Aktivpostenbewertung und Einschätzung 113 4.2.2 Bedrohungs- und Schadensanfalligkeitsbewertung 113 4.2.3 Auswahl von Gegenmaßnahmen und Empfehlungen 115 4.3 Verinice-System 115 4.4 Abschließende Bewertung der analysierten Tools und Systeme 121 4.5 Zusammenfassung 124 5 ENTWICKLUNG EINER SOFTWAREGESTÜTZTEN RISIKOIDENTIFIKATION FÜR DAS KRANKENHAUS 125 5.1 Mögliche Import-Alternativen für Verinice 125 5.2 Erstellung von benutzerdefinierten Reports mit ARIS 128 5.3 Umfang des Reports 131 5.4 Programmierung des CSV-Reports 134 5.4.1 Aufbau des Quelltextes 135 5.4.2 Import eines CSV-Reports in Verinice-System 139 5.5 Programmierung des XML-Reports 142 5.5.1 Grundlegende Überlegungen und vorbereitende Tätigkeiten 142 5.5.2 Aufbau des Quelltextes eines XML-Reports in ARIS 143 5.5.2.1 Anlegen unterschiedlicher Asset-Typen 145 5.5.2.2 Auslesen der ARIS-Attribute 148

XIII 5.5.2.3 Auslesen und Anlegen von Verknüpfungen zwischen Objekten 151 5.5.2.4 Synchronisation von Attributen 153 5.5.3 Überprüfung des Ergebnisses 155 5.6 Einsatz im Rahmen einer Middleware-Lösung 157 5.7 Zusammenfassung 160 6 ANWENDUNG DES ENTWICKELTEN COMPUTERBASIERTEN SYSTEMS IM KRANKENHAUS 163 6.1 Problemstellung im Krankenhaus 164 6.2 Zielsetzung im Projekt e-med ppp" 166 6.3 Erhebung der Versorgungsprozesse 170 6.3.1 Auswahl der Analysebereiche 170 6.3.2 Auswahl eines Modellierungswerkzeuges und Erarbeitung der Modellierungskonventionen 171 6.3.3 Analyse des Sachlogischen Prozessablaufes 172 6.3.4 Modellierung des Prozessablaufes 173 6.3.5 Erhebung von Zeit- und Kostengrößen 174 6.4 Bewertung der Ist-Situation 174 6.5 Soll-Konzept 176 6.5.1 Rolle von Standards in einer effizienten Supply Chain 176 6.5.2 Informationssicherheit im Soll-Konzept 179 6.5.3 Modulare Zusammensetzung des Soll-Konzeptes 179 6.6 Zusammenfassung 181 7 EVALUIERUNG DES RISIKOIDENTIFIKATIONSSYSTEMS ANHAND AUSGEWÄHLTER PROZESSE IM KRANKENHAUS 183 7.1 Prozesse im Anwendungsbereich der Informationssicherheit 183 7.1.1 Medikalproduktentnahme 183 7.1.2 Patientenarmband umlegen 186 7.1.3 Gabe an Patienten 187 7.1.4 Netzplan des e-med ppp"-netzwerkes 188 7.2 Anpassung des XML-Reports 190

XIV 7.2.1 Anpassung der Organisation- und der Gruppen-IDs 190 7.2.2 Ausprägung der Sicherheitsziele 191 7.2.3 Aufnahme von zusätzlichen Informationswerten in den XML- Report 193 7.3 Durchführung der Extraktion von relevanten Informationen und Überprüfung der Ergebnisse 194 7.4 Durchführung einer Risikobewertung 196 7.5 Kritische Bewertung des Risikoidentifikationssystems 200 8 FAZIT UND AUSBLICK 203 Literaturverzeichnis Anhang XXVII XXXVII

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback