Die Arbeit setzt sich mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) und damit auch eines Risikomanagementsystems auseinander. Da die Informationssicherheit aber auch die Betriebsfähigkeit fordert, wird auch auf die Einführung und den Betrieb eines Business Continuity Management System (BCMS) eingegangen.
Das Ziel der Arbeit ist es, dem Leser einen Überblick über die Normen im Bereich IT-Sicherheit sowie ein Überblick über die rechtlichen Rahmenbedingungen in den einzelnen Ländern der D-A-CH Region zu geben. Dies umfasst sowohl EU-weite Richtlinien und Verordnungen als auch die nationale Umsetzung in den einzelnen Ländern. Es umfasst auch die einschlägigen Normen, nationale Gesetze, EU Richtlinien und Verordnungen (NIS-Richtlinie, DSGVO).
Aus diesem Überblick entsteht ein Konzept für die Einführung eines ISMS für Krankenanstalten in unterschiedlichen Größenordnungen und Organisationsformen. Dieses Konzept umfasst Vorschläge für die unterschiedlichen Aspekte der Einführung und Umsetzung eines ISMS, BCMS und verschiedene Risikomanagementansätze im Gesundheitsbereich.
Inhaltsverzeichnis
- EINLEITUNG
- PROBLEMSTELLUNG
- IT-Sicherheitsvorfälle aus der Presse
- FRAGESTELLUNGEN DER ARBEIT
- ZIELE DER ARBEIT
- AUFBAU DER ARBEIT
- GRUNDLAGEN IT-SICHERHEIT UND BETRIEBSFÄHIGKEIT
- DEFINITIONEN IT-SICHERHEIT
- SCHUTZZIELE DER UNTERSCHIEDLICHEN NORMEN
- BEDEUTUNG DER IT-SICHERHEIT
- IT-SICHERHEIT IM GESUNDHEITSWESEN
- BEDROHUNGEN, SCHWACHSTELLEN, GEFÄHRDUNGEN
- MAẞNAHMEN ZUR IT-SICHERHEIT
- SENSIBILISIERUNG DER MITARBEITERINNEN UND MITARBEITER
- AUFRECHTERHALTUNG DER BETRIEBSFÄHIGKEIT
- IT-SICHERHEIT, COMPLIANCE UND DATENSCHUTZ
- MANAGEMENTSYSTEME
- MANAGEMENTPRINZIPIEN
- RECHTLICHE VORSCHRIFTEN IN DER EU, A, D UND CH
- TATBESTÄNDE LAUT STRAFGESETZBUCH
- NETZ- UND INFORMATIONSSICHERHEIT
- BETREIBER KRITISCHER INFRASTRUKTUREN
- VERPFLICHTUNGEN AUS DEM DATENSCHUTZ
- VERPFLICHTUNGEN ALS MEDIZINPRODUKTE-BETREIBER
- NORMEN, LEITLINIEN UND LEITFÄDEN
- UMSETZUNG DER IT-SICHERHEIT
- BSI IT-GRUNDSCHUTZ
- ISO/IEC 2700x
- ISO/IEC 27001 (ISMS - ANFORDERUNGEN)
- ISO/IEC 27002 UND ISO/IEC 27799 (ISMS - Leitfaden für MAẞNAHMEN)
- ISO/IEC 27005
Zielsetzung und Themenschwerpunkte
Diese Arbeit befasst sich mit den rechtlichen und normativen Rahmenbedingungen für Gesundheitsdienstleister als kritische Infrastruktur im D-A-CH-Raum. Das Hauptziel ist die Erstellung eines Konzepts für die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001.
- Rechtliche Rahmenbedingungen für IT-Sicherheit im Gesundheitswesen
- Einführung und Betrieb eines ISMS nach ISO/IEC 27001
- Relevanz von IT-Sicherheit und Betriebsfähigkeit für kritische Infrastrukturen
- Sensibilisierung von Mitarbeiterinnen und Mitarbeitern im Gesundheitswesen für IT-Sicherheit
- Zusammenhang zwischen IT-Sicherheit, Compliance und Datenschutz
Zusammenfassung der Kapitel
- Kapitel 1: Die Einleitung beleuchtet die Problematik von IT-Sicherheitsvorfällen im Gesundheitswesen und die Relevanz von Informationssicherheit und Datenschutz. Es werden die Fragestellungen und Ziele der Arbeit definiert sowie der Aufbau der Arbeit erläutert.
- Kapitel 2: In diesem Kapitel werden die Grundlagen von IT-Sicherheit und Betriebsfähigkeit erörtert. Es werden Definitionen von IT-Sicherheit gegeben und die Schutzziele verschiedener Normen, wie ISO/IEC 27000, ISO/IEC 22301, ISO/IEC 27005 und ISO/IEC 80001, untersucht. Die Bedeutung von IT-Sicherheit im Gesundheitswesen und die Bedrohungen, Schwachstellen und Gefährdungen werden beleuchtet. Weiterhin werden Maßnahmen zur IT-Sicherheit, die Sensibilisierung von Mitarbeiterinnen und Mitarbeitern und die Aufrechterhaltung der Betriebsfähigkeit behandelt. Schließlich werden die Schutzziele des Datenschutzes im Kontext der IT-Sicherheit beleuchtet.
- Kapitel 3: Dieses Kapitel behandelt Managementprinzipien im Kontext von Informationssicherheit, Risikomanagement und Business Continuity Management. Es wird das Informationssicherheitsmanagementsystem (ISMS) vorgestellt und das ISMS-Prozessmodell sowie die Elemente des Informationssicherheits-Managements beschrieben. Des Weiteren wird auf Risikomanagementsysteme (RMS) und Business Continuity Management Systems (BCMS) eingegangen.
- Kapitel 4: In diesem Kapitel werden die rechtlichen Vorschriften in der Europäischen Union, Österreich, Deutschland und der Schweiz im Hinblick auf Informationssicherheit im Gesundheitswesen beleuchtet. Dazu gehören die Tatbestände laut Strafgesetzbuch, die Netz- und Informationssicherheitsrichtlinien der EU und die jeweiligen nationalen Umsetzungen, sowie die Verpflichtungen aus dem Datenschutz und den Regelungen für Medizinprodukte-Betreiber.
- Kapitel 5: Dieses Kapitel befasst sich mit den Normen, Leitlinien und Leitfäden zur Umsetzung der IT-Sicherheit im Gesundheitswesen. Es werden die BSI IT-Grundschutz-Kataloge, die ISO/IEC 2700x-Normenfamilie und insbesondere die ISO/IEC 27001 (ISMS - Anforderungen) und die ISO/IEC 27002 und ISO/IEC 27799 (ISMS - Leitfaden für Maßnahmen) genauer betrachtet. Schließlich werden die Inhalte der ISO/IEC 27005, die sich mit Risikomanagement befasst, zusammengefasst.
Schlüsselwörter
Die Arbeit befasst sich mit den Themen Informationssicherheit, Datenschutz, IT-Sicherheit, kritische Infrastruktur, Gesundheitsdienstleister, ISO/IEC 27001, ISMS, EU NIS-Richtlinie, Datenschutzgrundverordnung (DSGVO), Betriebsfähigkeit, Risikomanagement, Business Continuity Management.
- Arbeit zitieren
- Peter Anzenberger (Autor:in), 2019, Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas, München, GRIN Verlag, https://www.grin.com/document/535226
