Implementierung eines ISMS in der Gesundheits- und Sozialwirtschaft

Ausganssituation 

Die Informationssicherheit im Gesundheitswesen ist von entscheidender Bedeutung, da Gesundheitsdaten eine besondere Sensibilität nach DSGVO Artikel 9 erfordern.  
 
Im Gesundheitswesen sind Angriffe auf IT-Infrastrukturen nicht nur finanziell schädlich, sondern können auch das Leben von Patientinnen und Patienten gefährden. Ein Ausfall der IT in einer Klinik kann dazu führen, dass keine Patienten mehr aufgenommen werden können oder wichtige Operationen verschoben werden müssen. Eine mangelhafte IT-Sicherheit kann daher auch Menschenleben gefährden.​​

Welche Themen müssen bei der Informationssicherheit im Krankenhaus berücksichtigt werden? 

Die Pflichten zur Umsetzung nach dem Stand der Technik ergeben sich aus den beiden Paragraphen §391 SGB V oder dem §8a BSIG. Sie als Betreiber können diese Pflichten insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus, wie zum Beispiel den „B3S medizinische Versorgung” anwenden. 
 
Der B3S medizinische Versorgung beschäftigt sich im Grund mit folgenden Themen: 

• ​​Risikomanagement in der Informationssicherheit 
• Informationssicherheitsmanagementsystem (ISMS) 
• Organisation der Informationssicherheit 
• Betriebliches Kontinuitätsmanagement 
• Asset Management 
• Robuste/resiliente Architektur 
• Physische Sicherheit 
• Personelle und organisatorische Sicherheit 
• Vorfallerkennung und Behandlung 
• Überprüfungen im laufenden Betrieb 
• Externe Informationsversorgung und Unterstützung 
• Lieferanten, Dienstleister und Dritte 
• Technische Informationssicherheit 
  

 

Warum hilft ein Informationssicherheitsmanagementsystem (ISMS) um die Informationssicherheit zu erhöhen? 

Ein ISMS schützt sensible Patientendaten und gewährleistet die Einhaltung gesetzlicher Vorgaben wie der DSGVO, was ohne ISMS oft unzureichend erfolgt. Es ermöglicht eine systematische Risikobewertung und –minderung, wodurch Sicherheitsvorfälle effizienter gehandhabt werden. Ein ISMS fördert eine Sicherheitskultur durch regelmäßige Schulungen und Sensibilisierung der Mitarbeiter. Zudem verbessert es die betriebliche Effizienz durch standardisierte Prozesse und sorgt für eine kontinuierliche Verbesserung der Informationssicherheitsmaßnahmen. Insgesamt erhöht ein ISMS das Vertrauen von Patienten und Partnern in die Sicherheit und Zuverlässigkeit des Krankenhauses. 
 

Wie führe ich ein ISMS ein? 

Die Einführung eines Informationssicherheitsmanagementsystems erfordert eine strukturierte Vorgehensweise. Diese umfasst im Regelfall folgende Schritte:

 

Sie haben eine Frage zum Thema oder möchten mehr Informationen? Dann nehmen Sie unverbindlich Kontakt auf!