Ihr Partner im Klinikmanagement. Entdecken Sie den Takt der Zukunft.

Informationssicherheit Part 2 – Die Organisation

Wie Sie das Thema Informationssicherheit in Ihrem Unternehmen am besten organisieren erfahren Sie in diesem Blogbeitrag.

16. September 2024

Informationssicherheit Part 2 – Die Organisation

Rolf Grube

In diesem Beitrag beschäftigen wir uns mit der Organisation im Rahmen des Informationssicherheits-Managements. Wie bei allen Management-Systemen, die in irgendeiner Weise den PDCA-Zyklus (Plan-Do-Control-Act) anwenden, braucht es die Menschen, die sich auf die Reise begeben.

Die Möglichkeiten der Organisation sind vielfältig

Schaut man sich die unterschiedlichen Standards dazu an, ergibt sich ein großer Gestaltungsspielraum für die Abbildung des Themas in der Organisation:

  • In der ISO 27001:2024 wird eine klare Organisation gefordert, die Ausgestaltung aber dem Unternehmen überlassen
  • In der speziell für das Gesundheitswesen angepassten ISO 27779:2016 wird mindestens eine Person gefordert, die fachlich geeignet ist oder von der Unternehmensleitung entsprechend ausgebildet wird
  • Im Grundschutz (2023, Baustein ISMS.1.A4) und dem B3S-Standard (ANF-MN 8) ist die Bestellung eines Informationssicherheitsbeauftragten eine MUSS-Forderung
  • Auch die amerikanischen NIST-SP800 Standards geben die Bestellung eines Information Security Officers vor (NIST SP800-53r5 Control PM-2)
  • In den verschiedenen Standards werden darüber hinaus diverse Stäbe und Verantwortliche gefordert, allerdings überwiegend als SOLL-Vorgaben

Unterschiedliche Schwerpunkte der verschiedenen Standards

Während COBIT einen besonderen Wert auf der Verankerung in der Organisation und den Abgleich mit der Unternehmensstrategie legt, fokussiert der Grundschutz stark und detailtief auf die technische Infrastruktur.

Diese Freiheitsgrade sind nachvollziehbar, denn ein Labor mit 50 Mitarbeitenden hat nicht die wirtschaftlichen und organisatorischen Ressourcen wie eine Universitätsklinik mit 18.000 Mitarbeitenden oder ein multinationales Unternehmen im Wirkungsbereich verschiedener Gesetze. Die Organisation des Informationssicherheitsmanagements muss sich an das Unternehmen und seine Ziele anpassen können.

Also, was brauchen Sie?

  • Im Krankenhaus brauchen Sie auf jeden Fall einen Informationssicherheitsbeauftragten, das ergibt sich aus dem B3S-Standard, oder besser §391 Abs. 4 SGB V. Der ISB kann intern angestellt oder extern beauftragt sein, muss aber fachlich qualifiziert sein und die Zeit und Ressourcen für seine Tätigkeit vom Unternehmen bereitgestellt bekommen. In anderen Gesundheitsunternehmen kommt es darauf an, ob es einen Branchenstandard gibt und das Unternehmen unter oder über der KRITIS-Schwelle liegt. Grundsätzlich empfiehlt es sich immer, über die Bestellung eines ISB nachzudenken.
  • Als Schnittstelle in die Organisation bietet sich die Bildung eines Stabes an, der sich mit dem Thema Informationssicherheit beschäftigt. Dieser sollte sich aus Mitgliedern der relevanten Berufsgruppen zusammensetzen. Der Datenschutzbeauftragte sollte ebenfalls eingebunden sein.
  • Besonders in kleinen Organisationen kann man sich überlegen, die Aufgabe bestehenden Stäben oder Teams zu übertragen bzw. Aufgaben zu kombinieren, beispielsweise Krisen-Stab und Informationssicherheits-Stab.

Sie sehen, in der Organisation der Informationssicherheit gibt es einen großen Gestaltungsspielraum, solange Sie nicht KRITIS-Unternehmen sind. Es muss aber gemacht werden, geben Sie den Verantwortlichen den Raum dafür.

In den nächsten Beiträgen geht es um die inhaltliche Arbeit und wir gehen auf volles Risiko!
Hier geht’s zum Artikel „Informationsinventar und Risikomanagement“, Teil 3 unserer Blog-Serie.

Cyber-Risiko-Check – ein neues Angebot der Oberender AG

Sie wollen schon jetzt wissen, wo Sie in der Informationssicherheit stehen? Super – dann lassen Sie uns zusammen den Cyber-Risiko-Check machen. Mehr Infos dazu gibt’s hier.

Oberender - Krankenhausberatung - Klinikberatung - Klinikmanagement - Signet - braun

Sprechen Sie mit unseren Expertinnen und Experten.

Mit unserer Expertise geben wir Ihnen keine schönen bunten Bildchen an die Hand, sondern umsetzbare Strategien, die Ihr Krankenhaus zukunftsfähig machen.

Rolf Grube

Manager Digitalisierung und Certified Information Security Manager

rolf.grube@oberender.com
+49 89 8207516-0
Wenn Sie den Artikel teilen möchten.
Oberender - Krankenhausberatung - Klinikberatung - Klinikmanagement - Signet - braun

Hier finden Sie ähnliche Artikel.

Stöbern Sie in unserem Blog und profitieren von unserer Expertise und Erfahrung.

25. Januar 2024

Vera Horn

Chance für die Digitalisierung im Gesundheitswesen oder Überforderung der Versorgungslandschaft – ein kritischer Beitrag zu den gesetzlichen Neuerungen

18. Dezember 2023

Ralf Suchart

Der OP ist unstrittig ein zentraler Leistungsbereich eines Krankenhauses. Hier entscheidet sich in erheblichem Umfang die Qualität der erbrachten Leistung.

18. Dezember 2023

Jochen Baierlein

, Prof. Dr. Andreas Schmid

Wie unterschiedlich sie auch sind – alle Kommunen Bayerns sind von den massiven Verwerfungen im Gesundheitswesen betroffen. 90 von 96 Kreisen bzw. kreisfreien Städten sind direkt Träger eines Krankenhauses, zwei weitere zumindest mittelbar beteiligt.