Am 12. November 2024 haben wir im Rahmen der Webkonferenz „IT-Sichereheit im Krankenhaus“ einen Vortrag zum Thema, wie ein modernes Risikomanagement interdisziplinäre Herausforderungen im Gesundheitswesen bewältigen kann, gehalten.
Hintergrund: Krankenhäuser und Kliniken müssen sich zunehmend mit einem wachsenden und komplexen Netz an Vorschriften wie NIS2, §391 SGB V, DIN EN IEC 80001 oder DSGVO auseinandersetzen – und das mit immer knapperen Ressourcen. Unsere Referenten Dr. Tim Vellmer und Klaus Marquart zeigten auf, warum ein intelligentes, umfassendes und nahtlos verknüpftes Risikomanagement unverzichtbar ist, was die ersten Schritte dafür sind und wie unser ISMS-Tool TTS trax dazu beiträgt, alle relevanten Normen und Gesetze einzuhalten.
Alle Antworten auf Ihre Fragen
Im Nachgang des Vortrags haben uns viele Fragen bezüglich unserer ISMS Software TTS trax erreicht, welche wir Ihnen an dieser Stelle gerne beantworten möchten.
Wie kommen die einzelnen Assets eigentlich aus der IT in das TTS Trax?
- Je nach Anforderung bietet trax flexible Möglichkeiten. Natürlich kann man Assets aus der IT, aus dem Facilitymanagement oder aus anderen Fachbereichen manuell anlegen. Bei größeren Datenmengen gibt es auch die Möglichkeit, Assets automatisiert oder nach Freigabe von einem Fremdsystem (z.B. Assetmanagementsystem oder Excel) über eine Schnittstelle ins Tool zu importieren.
Wie wäre denn ein Weg, die Schutzziele der DIN EN ISO/IEC 27001 und der DIN EN IEC 80001-1 miteinander zu vereinbaren?
- Der Fokus der DIN EN IEC 80001-1 mit den Schutzzielen Patientensicherheit und Effektivität liegt ganz klar auf dem Wohl der Patienten. Im B3S-Medizinische Versorgung werden Sie auch als KRITIS-Schutzziele bezeichnet für die die anderen Schutzziele Voraussetzung sind. Aus Sicht der Informationssicherheit sind Patientensicherheit und Behandlungseffektivität also Schadensauswirkungen und zahlen somit auf die bekannten Schutzziele der der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit ein. In TTS trax können beide Vorgehensweisen verwendet werden, also einmal fünf Schutzziele konfigurieren oder die drei Schutzziele und zudem Patientensicherheit und Behandlungseffektivität als Schadensauswirkungen. Die zweite Variante
Wo finde ich in TTS trax die Informationen zu den einzelnen Geräten, die für die Risikoanalyse zum Beispiel für ein Patientendatenmanagementsystem (PDMS) oder ein Infusionsmanagementsystem betrachtet werden können?
- Ein PDMS besteht aus weiteren Komponenten wie Datenbank-Cluster, Anwendungs- oder Webserver. Dabei handelt es sich um zwei Sichten oder Abstraktionsebenen und beide können in TTS trax verwendet werden. Man sollte aber beachten, dass man das Werteinventar in einem ISMS nicht direkt auf der physischen Ebene aufbauen sollte, sondern einen für ein ISMS geeigneten Abstraktionsgrad wählt. Daher Geräte und Komponenten sinnvoll gruppiert werden. Ansonsten treibt das den Aufwand beim Betrieb des ISMS in die Höhe und der CISO verliert schnell den Blick für das Wesentliche.
Kann in TTS trax auch das klinische Risikomanagement mit aufgegriffen und abgebildet werden, also im Sinne eines integrativen Risikomanagements?
- Die verwandten Risikomanagementdisziplinen im ISMS, BCMS und Datenschutz werden heute schon von unseren Kunden erfolgreich integrativ umgesetzt. Durch eine Entwicklungspartnerschaft mit der Uniklinik RWTH Aachen zeigen die vorliegenden Ergebnisse, dass weitere Risikomanagementdisziplinen, wie klinisches oder KontraG-Risikomanagement integriert werden können. Sprechen Sie uns gerne an, um weitere Details zu erfahren.
Wie kommt der Status der Maßnahmenumsetzung in das System rein?
- In TTS trax können Sie als angemeldeter Benutzer die Maßnahmenumsetzungsstände direkt bearbeiten und Nachweise hinterlegen. Wenn Sie die Maßnahmen an Personen für die Umsetzung übertragen möchten, können Sie Maßnahmen auch zu Aufgaben bündeln und dann per workflowbasiertem Formular an die gewünschte Person für die Umsetzung übertragen. Die Person erhält dann eine E-Mail aus dem System und gelangt über einen Link zu einem Formular. Hier können dann die Maßnahmenumsetzungsstände gepflegt, Nachweise hinterlegt, Aufgaben kommentieren oder Fragen gestellt werden. Nachdem das Formular zurückgesendet wurde, prüft die verantwortliche Person, welche das Formular ursprünglich versendet hat, die zurückgesendeten Daten und kann diese dann freigeben. Nach der Freigabe werden die Maßnahmenumsetzungsstände direkt automatisch in das System übernommen. Das System erinnert die verantwortliche Person mehrfach, bei näher rückender Fälligkeit an die offene Aufgabe. Zudem ist es auch möglich Aufgaben zeitgesteuert zu versenden.
Weitere Informationen zu TTS trax
Wenn Sie mehr über den Einsatz von TTS trax im Zusammenhang mit der Medizinischen Informationssicherheit erfahren möchten, schauen Sie sich mal unsere Website „ISMS Software TTS trax für Informationssicherheit in Kliniken und Krankenhäusern“ an oder melden Sie sich zu unserer nächsten unverbindlichen öffentlichen Live-Demo am 04.12.2024 an: https://www.tts-trax.com/tts-trax-live-demo-03/