Leitfaden zur Erstellung eines IT-Sicherheitskonzeptes
Information hat sich im Rahmen des ökonomischen Strukturwandels in fast allen Industrienationen zum vierten Produktionsfaktor neben Arbeit, Kapital und Boden entwickelt. Die Wertschöpfung verlagert sich in vielen Unternehmen von der Produktion hin zur Dienstleistung. Im Dienstleistungssektor Gesundheitswesen entscheiden die Informationen zu einem Patienten über dessen Wohlergehen: bei der Patientenbehandlung ist deshalb insbesondere die Gewährleistung von Verfügbarkeit und von Integrität der notwendigen Informationen essenziell.
Da die IT als Infrastruktur eine immer wichtigere Rolle bei der Gesundheitsversorgung einnimmt und die meisten Geschäftsprozesse mit IT abgebildet werden, handelt derjenige, der eine Verarbeitung personenbezogener Gesundheitsdaten ohne ein entsprechendes IT-Sicherheitskonzept vornimmt, zumindest fahrlässig, wenn nicht sogar grob fahrlässig. Dieses kann im Ernstfall nicht unerhebliche Haftungskonsequenzen nach sich ziehen.
Doch auch wenn man ein IT-Sicherheitskonzept als grundlegende Voraussetzung zum konstruktiven Ansatz zur Gewährleistung von „IT-Sicherheit“ ansieht, ist oftmals nicht klar, was in ein solches Konzept eigentlich alles hineingehört bzw. wie man ein solches sinnvollerweise, auf die eigene Institution zugeschnitten, entwickelt. Ferner ist oft nicht bekannt, wie bzw. nach welchen Kriterien die wesentlichen technischen und organisatorischen Maßnahmen gruppiert bzw. beschrieben werden sollen. Der von den Verbänden
Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) ,Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“
ZTG Zentrum für Telematik und Telemedizin GmbH (ZTG)
erstellte „Leitfaden zur Erstellung eines IT-Sicherheitskonzeptes“ (Stand: 2017-09-29) ist deshalb so konzipiert, dass er bezogen auf die Anforderungen des Gesundheitswesens, praxisorientiert bei der Erstellung eines IT-Sicherheitskonzepts eine entsprechende Hilfestellung geben soll. Wie die Verfasser sich den Aufbau und Struktur eines IT-Sicherheitskonzeptes vorstellen, wird genauer im Abschnitt „Teil 1: Aufbau und Struktur eines IT-Sicherheitskonzeptes“ beschrieben. Dementsprechend sieht der grundsätzliche Aufbau eines diesem Leitfaden folgenden IT-Sicherheitskonzeptes wie folgt aus:
Kapitel 1 Zusammenfassung/Management Summary
Kapitel 2 Einleitung mit Darstellung der Ziele des IT-Sicherheitskonzeptes
Kapitel 3 Begriffsbestimmungen
Kapitel 4 Administrativa
Kapitel 5 Überblick bzgl. Zuständigkeiten, usw.
Kapitel 6 Darstellung der Rahmenbedingungen
Kapitel 7 Beschreibung der Systemarchitektur
Kapitel 8 Darlegung des Schutzbedarfs
Kapitel 9 Anzuwendende Vorgaben
Kapitel 10 Anforderungen
Kapitel 11 Implementierungsvorgaben
Kapitel 12 Darlegung der Restrisiken
Kapitel 13 Beschreibung der Kontrolle und Fortschreibung des IT-Sicherheitskonzeptes
Kapitel 14 Mitgeltende Unterlagen.
Im Abschnitt „Teil 2: Umsetzungshinweise“ werden weiterführende Informationen angeboten, z. B. Beschreibung von Akteuren, Begriffsbestimmungen und weiterführende Literatur.
Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseitehttps://creativecommons.org/licenses/by-sa/4.0/legalcode.