Informationssicherheitsrichtlinie


1. Zweck

Die Leitung der Evangelischen Krankenhaus Gesundbrunnen gGmbH äußert mit dieser Leitlinie den hohen Stellenwert der Aufrechterhaltung der Informationssicherheit im Betrieb und darin anfallender und verarbeiteter Daten. Dieses Dokument definiert eine aufgegliederte Zielsetzung im Kontext der Informationssicherheit und legt den Geltungsbereich, eine allgemeine Sicherheitsstrategie mit kontinuierlicher Verbesserungsabsicht sowie den grundlegenden organisatorischen Rahmen fest. Dieses Dokument spiegelt daher die Überzeugungen der Geschäftsführung/Krankenhausleitung des Krankenhauses wider.

2. Geltungsbereich

Diese Leitlinie gilt für alle Bereiche der Evangelischen Krankenhaus Gesundbrunnen gGmbH, welche mit der Erhebung, Verarbeitung, Überprüfung und Löschung von Informationen befasst sind. Jeder (interne als auch externe Dienstleister), der Informationen oder Infrastruktur der Evangelischen Krankenhaus Gesundbrunnen gGmbH nutzt, unterliegt dieser Informationssicherheitsrichtlinie und ist zu entsprechendem Handeln verpflichtet.

3. Sicherheitsstrategie

Die Sicherheitsstrategie für der Evangelischen Krankenhaus Gesundbrunnen gGmbH besteht darin, mit wirtschaftlichem Ressourceneinsatz ein hinreichendes Maß an Sicherheit zu erreichen, um aktuellen und zukünftigen Risiken angemessen zu begegnen. Dieser Prozess wird durch die Einführung eines Informationsicherheitsmanagementsystems (ISMS), orientiert an der ISO 27001, etabliert. Dabei werden auch die Vorgaben des Branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S) sowie den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD) im angemessenen Umfang berücksichtigt.

4. Stellenwert

In unserem Krankenhaus werden schützenswerte Informationen verarbeitet, die nicht nur, aber weit überwiegend in elektronischer Form vorliegen und auf die ein schneller, sicherer und aktueller Zugriff gewährleistet sein muss. Informationsverarbeitung spielt eine Schlüsselrolle für unsere Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss weitgehend verhindert und insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf der stationäre Patientenversorgungsprozess nicht zusammenbrechen. Da unsere kritischen Dienstleistungen in der teil- sowie vollstationären Patientenversorgung liegt, sind die Verfügbarkeit und der Schutz dieser Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung von existenzieller Bedeutung. Daher gilt es die Verfügbarkeit, Integrität (Vollständigkeit und Richtigkeit) und Vertraulichkeit von Informationen angemessen sicherzustellen. Durch diese Leitlinie zur Informationssicherheit übernimmt die Geschäftsführung/Krankenhausleitung die Gesamtverantwortung für die Informationssicherheit. Aus dieser Verantwortung heraus führen wir ein Informationssicherheitsmanagementsystem (ISMS) ein. Dazu gehören die Schaffung einer Informationssicherheitsorganisation und die Bereitstellung entsprechender Ressourcen zur Entwicklung eines angemessenen Sicherheitskonzeptes sowie die regelmäßige Überprüfung der Maßnahmen auf ihre Angemessenheit und Wirksamkeit.

5. Informationssicherheitsziele

Ziele, die im Rahmen einer Gewährleistung von Informationssicherheit im Evangelischen Krankenhaus Gesundbrunnen gGmbH verfolgt werden, sind im Einzelnen:

  • Der Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen und Diensten
  • Der Schutz von Patienten und Personal
  • Gewährleistung der Einhaltung gesetzlicher Anforderungen
  • Gewährleistung einer effektiven Patientenversorgung
  • Gewährleistung der Wirtschaftlichkeit beim Einsatz der Ressourcen
  • Die Zusammenarbeit mit interessierten und öffentlichen Parteien
  • Die öffentliche Darstellung der Evangelischen Krankenhaus Gesundbrunnen gGmbH

Es ist nachfolgenden Grundsätzen zu verfahren:

  • Verfügbarkeit ist die Zur-Verfügung-Stellung von Diensten und -Dienstleistungen, die es den Benutzern jederzeit (mit Ausnahme zumutbarer Ausfallzeiten) ermöglichen, diese im zugesicherten Rahmen zu nutzen. Im Einzelnen wird sichergestellt, dass eine angemessene Verfügbarkeit gewährleistet ist.
  • Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Nachrichten, Daten und Informationen gegenüber anderen Nutzern, unautorisierten Mitarbeitern oder Dritten. Vertrauliche Daten und Informationen werden ausschließlich Befugten in der zulässigen Weise zugänglich gemacht. Dies beinhaltet für den IT-Informationsverbund insbesondere:
    • Vermeidung unbefugter Zutritte
    • Verhinderung des unbefugten Zugangs
    • Verhinderung des unbefugten Zugriffs auf sensible Daten und Systeme
    • verschlüsselter externer Transport der Daten
  • Integrität beinhaltet den Schutz vor unerlaubter Veränderung oder Verfälschung/Manipulierung von Informationen. Dies betrifft die Daten, die im internen IT-Informationsverbund gespeichert sind und die Daten, die über das Internet übertragen werden. Sofern unautorisierte Veränderungen erfolgen, sind diese nachvollziehbar. Auch die Konfiguration von Diensten und Systemen darf nicht unautorisiert verändert werden.
  • Authentizität Die Identität der Kommunikationspartner ist jederzeit sicherzustellen.
  • Patientensicherheit ist das Produkt aller Maßnahmen der medizinischen Versorgung, die darauf gerichtet sind, Patienten vor vermeidbaren Schäden in Zusammenhang mit der Diagnose und Heilbehandlung zu bewahren. Unter „Patientensicherheit“ versteht man die präventiven Maßnahmen zur Verhütung, Verbesserung und Vermeidung von unerwünschten Ergebnissen oder Schäden durch Gesundheitsversorgungsmaßnahmen.
  • Behandlungseffektivität beschreibt, die Sicherstellung und Aufrechterhaltung der Effektivität bzw. Wirksamkeit einer Gesundheitsmaßnahme.

Verweis auf Dokument:

     Leitbild und Qualitätsziele

Durch ein entsprechendes Bewusstsein für Informationssicherheit bei allen Internen und externen Mitarbeiter*innen wird ein Fundament für die Einhaltung der Informationssicherheitsgrundsätze geschaffen. Deshalb sind entsprechende Schulungsmaßnahmen für Informationssicherheit für Mitarbeiter*innen durchzuführen, um Informationssicherheitsrisiken durch Unwissenheit oder Fehlbedienung zu verringern. Regelmäßige Audits und Analysen werden durchgeführt, um neue Risiken und Sicherheitsanforderungen zu erkennen. Außerdem ist es erforderlich, dass die Informationssicherheitsanforderungen regelmäßig an die sich ändernden Prozesse angepasst werden.

6. Verantwortlichkeiten

Durch das verantwortungsbewusste Verhalten von der Krankenhausleitung, Mitarbeiter*innen und Betreiber*innen von Informationssystemen wird die Informationssicherheit wesentlich beeinflusst. Die Krankenhausleitung trägt die Verantwortung für die Gewährleistung einer angemessenen Informationssicherheit im Umgang mit Informationen und Informationssystemen. Der Aufgabenbereich der Krankenhausleitung umfasst daher in ihrem Verantwortungsbereich für die Durchsetzung von Informationssicherheitsmaßnahmen und die Abstimmung mit anderen tangierenden Bereichen zu sorgen, sowie zu kontrollieren, ob die Regelungen eingehalten werden. Unterstützt wird die Krankenhausleitung dabei von der Informationssicherheitsorganisation (ISSO). Diese sorgt außerdem für einen einheitlichen Wissensstand bei Informationssicherheitsfragen und für eine effiziente Verwirklichung der Informationssicherheitsmaßnahmen. Zusätzlich fördert sie das sicherheitsbewusste Denken im Krankenhaus. Bei der Erzeugung von Informationen ist Jeder für deren Klassifizierung im Rahmen der Vorgaben der Evangelischen Krankenhaus Gesundbrunnen gGmbH verantwortlich. Jede*r Mitarbeiter*in sowohl intern als auch extern, ist dazu verpflichtet, mit genutzten Informationen und Informationssystemen sorgfältig umzugehen und diese ausschließlich im Sinne der zugewiesenen Aufgaben und im Rahmen der geltenden Regelungen der Evangelischen Krankenhaus Gesundbrunnen gGmbH zu nutzen.

7. Meldewege bei Vorfällen

Alle Personen (krankenhausintern als auch extern), die im Geltungsbereich des Dokuments nicht ausdrücklich und begründet ausgeschlossen sind, haben die Pflicht, sicherheitsrelevante Ereignisse, Beobachtungen und erkannte Sicherheitsvorfälle über einen der folgenden Medien unverzüglich zu melden:

Ticketsystem E-Mail: helpdesk@ekh-gesundbrunnen.de

Informationssicherheitsorganisation: informationssicherheit@ekh-gesundbrunnen.de

Ein Sicherheitsvorfall ist gegeben, sobald eines der im Abschnitt Informationssicherheitsziele aufgeführten Ziele erkennbar verletzt wurde. Ein sicherheitsrelevantes Ereignis ist gegeben, sobald eines der aufgeführten Ziele gefährdet erscheint.

8. Inkrafttreten

Die vorliegende Informationssicherheitsrichtlinie tritt unmittelbar auf Beschluss der Geschäftsführung zum 01.01.2023 in Kraft. Die Geschäftsführung/Krankenhausleitung der Evangelischen Krankenhaus Gesundbrunnen gGmbH bekennt sich zu den in dieser Richtlinie festgelegten Zielen, dem Geltungsbereich und der beschriebenen Sicherheitsstrategie. Verstöße und Zuwiderhandlungen gegen Überzeugungen und Vorgaben der Informationssicherheitsrichtlinie werden gemäß einem formellen Maßregelprozess behandelt.


Autor:  Ina Bäcker   |   Freigabedatum: 26.04.2023