Informationssicherheitsmanagement im Gesundheitswesen - ISO 27799 unter ISO 27001

Die Informationssicherheit von Daten aller Art im Gesundheitswesen ist eines der meistdiskutierten Themen, wenn es um den Schutz personenbezogener Daten geht! Wie können Sie also so gut wie möglich sicherstellen, dass sie geschützt oder richtig verwendet und verwaltet werden? Natürlich mit DER Informationssicherheitsnorm schlechthin - ISO 27001!

Wie also geht ISO 27001 mit dem Gesundheitswesen im Alltag um? Fragen Sie ihren Enkel ISO 27799!

Er trägt den offiziellen Titel: "Gesundheitsinformatik - Informationssicherheitsmanagement im Gesundheitswesen unter Verwendung von ISO/IEC 27002".

‍

Wie verhält sich ISO 27799 zu ISO 27001?

‍

ISO 27799 bietet eine Anleitung zur Unterstützung der Implementierung von Informationssicherheitskontrollen in Organisationen des Gesundheitswesens auf der Grundlage von ISO 27002. Ach ja, ISO 27002 kennen wir ja schon! Die erstgeborene Tochter der Königin, ISO 27001 - Die Hüterin der ISO 27k Familie!

Ein Satz dazu: Vulnerability Management, auch bekannt als ISO 27002, ist ein detaillierter ergänzender Leitfaden zu den Sicherheitskontrollen in ISO 27001. Wichtig zu wissen: Sie können sich nicht nach ISO 27002 zertifizieren lassen, weil sie die erste Soldatin ihrer Mutter ist und nicht einmal den Thron haben will! Aber einige ihrer Kinder haben die Möglichkeit... Schauen wir mal.

Seien Sie klug und lesen Sie diesen ISO 27002-Blog, bevor Sie hier weiter lesen. Wenn Sie bereits mit der ISO 27k-Familie vertraut sind, lesen Sie weiter.

‍

Um bei unserer Familienhierarchie zu bleiben: ISO 27799 ist eines der vielen Kinder von ISO 27002 (der Mutter der Kontrollen), so wie ISO 27001 ihre Großmutter ist. 

Nur zur Klarstellung: Jeder in der ISO 27k-Familie zahlt je nach Bedarf in die ISO 27001-Zertifizierung einer Organisation ein, aber nicht jedes Mitglied erhält eine Einladung zu jeder Audit-Party. Eine Finanzorganisation muss sich nicht mit ISO 27799 befassen. Vielmehr steht sie in Verhandlungen mit anderen Mitgliedern der ISO 27k-Familie.

ISO 27799 ist speziell für den Gesundheitssektor gedacht! Punkt. 

Übrigens, mein Gott, dieses Matriarchat ist riesig! BEAST... es ist wie ein paar verlorene ISO 27k Enkelkinder, die aus dem Nichts auftauchen...

Aber dieses Enkelkind taucht nicht einfach aus dem Nichts auf. Und es war nicht einmal verloren... Im Grunde dient ISO 27799, wie bereits erwähnt, als Instrument zum Schutz persönlicher Gesundheitsdaten. Dieses ist also damit beschäftigt, in einer verdammt großen Industrie zu arbeiten, und hat keine Zeit, bei all den Familienfeiern aufzutauchen, die im Laufe des Jahres anstehen. Schon der Name "27799" klingt nach einem Außenseiter, der im Wald lebt und von zu Hause aus arbeitet. Wunderbar :). 

‍

Was ist ISO 27799?

‍

Offizieller Wortlaut der Internationalen Organisation für Normung: "ISO 27799 gibt Richtlinien für organisatorische Informationssicherheitsstandards und Informationssicherheitsmanagementpraktiken, einschließlich der Auswahl, der Implementierung und des Managements von Kontrollen unter Berücksichtigung der Informationssicherheitsrisikoumgebung(en) der Organisation."

ISO 27799 gilt für Gesundheitsinformationen in all ihren Facetten, unabhängig von ihrer Art (Worte und Zahlen, Tonaufnahmen, Zeichnungen, Videos und medizinische Bilder), unabhängig davon, wie sie gespeichert werden (gedruckt oder auf Papier aufgezeichnet oder elektronisch gespeichert), und unabhängig davon, wie sie übermittelt werden (von Hand, per Fax (ja, das gibt es noch, vor allem im Gesundheitswesen), über Computernetzwerke oder per Post), denn Informationen müssen immer angemessen geschützt werden.

"ISO 27799 definiert also Leitlinien zur Unterstützung der Interpretation und Implementierung von ISO/IEC 27002 in der Gesundheitsinformatik und ist ein Begleitdokument zu dieser internationalen Norm."

Nein, nicht ein Begleiter, ein geliebtes Kind ;)!

Wie bereits erwähnt, bietet ISO 27799 eine Anleitung zur Umsetzung der in ISO 27002 beschriebenen Kontrollen! Und wie ISO 27018, ISO 27017, etc. (weitere Kinder von ISO 27002) verbessert ISO 27799 diese, wo nötig, so dass sie effektiv für das Informationssicherheitsmanagement im Gesundheitswesen eingesetzt werden können. 

‍

ISO 27799 und ISO 27002 definieren also, was in Bezug auf die Informationssicherheit im Gesundheitswesen erforderlich ist, sie definieren nicht, wie diese Anforderungen zu erfüllen sind. 

ISO 27799 bleibt auch so weit wie möglich technologieneutral. Warum eigentlich?  

Die Sicherheitstechnologie entwickelt sich rasant weiter! Jeden Monat taucht eine neue technische Entwicklung auf, und da Informationssicherheit und Cybersicherheit die Themen der Stunde bleiben und internationale Normen wie die ISO regelmäßig überprüft werden, kann die Norm nicht EINE technologische Lösung als gegeben definieren!  

Auch hier geht es darum, die besonderen Anforderungen der Normen zu erfüllen. 

Und wie? Das bleibt Ihnen überlassen! Natürlich ist es am besten, eine automatisierte Lösung zu verwenden, die sich genauso weiterentwickelt wie das ISMS eines Unternehmens. Hier kommt Secfix ins Spiel.

‍

Wie viel ist die Gesundheitsbranche wert?

‍

Es mag seltsam klingen, das Gesundheitswesen als Industrie zu bezeichnen! Ist es aber! Die Gesundheitsbranche ist in den Vereinigten Staaten im Jahr 2021 808 Milliarden Dollar wert. Deutschland bringt 67,9 Milliarden Euro an den Tisch, und wenn man den Rest der Welt mit einbezieht, ist die globale Gesundheitsbranche 12 Billionen Dollar wert! Angesichts dieser Zahlen kann man sich nur vorstellen, welche unglaublichen Mengen an Daten und Informationen damit verbunden sind. 

Irgendwie sollte Ihnen die Bedeutung von Patientendaten und -informationen also "wertvoll" erscheinen. Ungeachtet des sensiblen Inhalts einer Patientenakte... Es geht hier um eine riesige Menge Geld! So viele Aspekte zu diesem Thema.

‍

Warum ist das Management der Informationssicherheit im Gesundheitswesen so wichtig?

‍

Das Gesundheitswesen unterscheidet sich in vielerlei Hinsicht von anderen Branchen. Hier geht es in erster Linie darum, das Leben der Patienten zu verbessern und zu betreuen. Ein "gesunder" Mensch kann sicherlich nicht wirklich verstehen, was man mit seinen Krankheitsdaten will. Mich persönlich würde das allerdings schon interessieren!

Okay, ich bin krankenversichert oder privat versichert und habe mir gestern einen zertrümmerten Zahn ziehen lassen, weil ich keine Ahnung von Eishockey hatte, vielleicht sind meine Blutwerte oder mein Geburtsdatum irgendwo. Worum genau geht es bei den Hacking-Angriffen im Gesundheitswesen denn eigentlich?

Lieber Hacker, bitte klärt mich auf! Identitätsdiebstahl? Oder, wie so oft, einfach die Herausforderung. Nun, die Antriebe, dies zu tun werden nie vollständig bekannt sein....

Führungskräfte im Gesundheitswesen können es sich also nicht leisten, Fragen der Cybersicherheit zu ignorieren. Die Ausgaben für Cyber-Bedrohungen sind erheblich gestiegen, und Führungskräfte im gesamten Gesundheitswesen berichten über zunehmende Bedrohungen und Datenschutzverletzungen.

‍

Und da immer mehr Einrichtungen des Gesundheitswesens damit beginnen, Patienteninformationen und -daten mit digitalen Methoden zu speichern, ist es wichtig, diese auf einem hohen Niveau zu schützen. Um die Sicherheit der Patienten zu gewährleisten, müssen all diese wichtigen Informationen geschützt werden. Es versteht sich von selbst, dass Patientendaten, wie z. B. Laborberichte, äußerst sensibel sind. Nur befugte Personen sollten Zugang zu ihnen haben! 

‍

Hier kommt die ISO 27001 mit der ISO 27799 im Gepäck ins Spiel! IT-Systeme und die damit verbundene Informationssicherheit müssen bei der Datenspeicherung einwandfrei funktionieren. 

Durch die Einführung von ISO 27799 können Organisationen des Gesundheitswesens, die mit sensiblen Daten umgehen, ein Mindestmaß an Sicherheit gewährleisten. Ein Mindestmaß? Das hört sich zunächst nicht zufriedenstellend an. Die Richtlinien werden jedoch an die Gegebenheiten jeder Gesundheitseinrichtung angepasst, so dass genau dieses "Mindestmaß" an Vertraulichkeit, Integrität und Verfügbarkeit der verwalteten personenbezogenen Gesundheitsdaten gewährleistet ist.

‍

Und da ISO 27799 als branchenspezifische Ergänzung zur ISO 27001-Norm zu verstehen ist, ist diese Ergänzung auch Teil einer ISO 27001-Zertifizierung und kann nicht alleine erreicht werden, ISO 27799 braucht die Großmutter. Natürlich ist die Großmutter dankbar und erlaubt ihrem Enkel, sein eigenes Zertifikat zu haben, aber nur unter ihrem eigenen! Es ist eigentlich dasselbe wie das seines Bruders ISO 27018. Organisationen des Gesundheitswesens können die ISO 27799-Zertifizierung als Teil eines ISO 27001-Zertifizierungsprozesses erhalten. 

‍

Und da die ISO 27799 den besonderen Sicherheitsanforderungen im Gesundheitswesen Rechnung trägt und z. B. Israel für alle Gesundheitseinrichtungen ein "extra" ISO 27799-Zertifikat verlangt, führt kein Weg an der ISO 27001-Zertifizierung vorbei. Das klingt zunächst etwas ernüchternd, aber sehen wir uns das einmal an. 

Es gibt Gründe, warum die Zertifizierung nach ISO 27001 immer noch "die erste Wahl" ist. Schauen wir uns also die Vorteile an! 

‍

Vorteile von ISO 27001 und ISO 27799 im Gesundheitssektor

‍

Die zunehmende Einführung digitaler Technologien in fast allen Organisationen hat dazu geführt, dass den ISO-Normen im Gesundheitswesen mehr Aufmerksamkeit gewidmet wird. So wurde zum Beispiel die "HIPAA-Compliance" eingeführt, um die privaten medizinischen Daten der Patienten vor jeder Art von Bedrohung zu schützen. Aber Stop. HIPAA ist eher eine Angelegenheit der Vereinigten Staaten. Die HIPAA-Vorschriften müssen von allen US-Gesundheitsdienstleistern eingehalten werden, die Gesundheitsdaten in elektronischer Form übermitteln. Lassen wir also HIPAA für einen Moment beiseite. 

‍

Durch den Aufbau von ISO 27001-zertifizierten Informationssicherheits-Managementsystemen zeigen alle Arten von Organisationen ihr Engagement für den Schutz aller ihrer Geschäftsdaten.

Im Gesundheitswesen ist das nicht anders. Die Kunden, die hier als Patienten bezeichnet werden, wollen wissen, dass ihre Daten ordnungsgemäß geschützt sind, unabhängig davon, ob sie auf Papier geschrieben, auf digitalen Plattformen oder in den Köpfen der Mitarbeiter gespeichert sind. 

Die Vorteile dieses Standards gelten für alle Organisationen des Gesundheitswesens, unabhängig von ihrer Größe, Art oder Komplexität. 

Organisationen des Gesundheitswesens verfügen ebenfalls oder insbesondere über technologische Infrastrukturen, Informationssysteme und Informationsbestände, die hochsensibel und anfällig für Schwachstellen sind. ISO 27799 (als Teil von ISO 27001) wird diesen Organisationen helfen, die von ihnen verarbeiteten personenbezogenen Daten sicher zu verwalten.

‍

Vorteile:

• Es wird ein aktiver Ansatz für die ordnungsgemäße Verwaltung und den Schutz kritischer Daten definiert, wobei die Beziehung zwischen den Komponenten der Informationssicherheitskontrollen verstanden wird. 

• Durch die Implementierung und Verwaltung laufender Informationssicherheitskontrollen auf der Grundlage von ISO 27799 erleichtert es die Regulierung, Verwaltung und den ordnungsgemäßen Umgang mit allen Daten innerhalb einer Gesundheitsorganisation.  

• Risiken, die mit einer unzureichenden Datenverarbeitung verbunden sind, können schnell erkannt und damit auch sofort entschärft werden. Lesen Sie mehr über dieses Thema: ISO 27005.

• Im Falle eines Informationssicherheitsvorfalls geht der Geschäftsbetrieb weiter

• Einhaltung der geltenden nationalen und internationalen Vorschriften

• Patienten, Behörden und alle anderen Beteiligten können sicher sein, dass ihre sensiblen Daten bestmöglich geschützt sind.

‍

Vereinbaren Sie einen Termin mit uns und lassen Sie uns über Ihre Compliance-Ideen für Ihr Unternehmen sprechen.

‍

‍