Information Security Mgmt. System

Information Security Mgmt. System

Warum sollten Sie ein Information Security Management System einsetzen?

Weil:

  • zur historisch gewachsenen Struktur in Krankenhäusern häufig nicht die Informationssicherheit gehört
  • durch die heutige Digitalisierung die Abhängigkeit von IT-Services steigt
  • Hacker-Angriffe bspw. auf Krankenhäuser vermieden werden müssen

Rechtliche Anforderungen: KRITIS

§75c SGB (Sozialgesetzbuch)

Fazit

Viele Krankenhäuser haben noch kein ISMS gemäß den Anforderungen implementiert oder sind erst dabei, ein ISMS aufzubauen. Sicherheitslücken sind nicht auszuschließen. Compliance ohne ein vollständiges ISMS ist nicht nachweisbar.

  • Sicherheitslücken gefährden Patienten, den Ruf sowie den Betrieb der medizinischen Einrichtung und verursachen erhebliche Kosten
  • Ohne ein funktionierendes ISMS System kann kein Krankenhaus mehr existieren
  • Die Bundesregierung hat die Defizite im Gesundheitswesen erkannt und gehandelt
  • Verschärfung der Anforderungen mit Vorschrift zur Implementierung eines ISMS
  • Digitalisierungskampagne im Gesundheitswesen
  • Bereitstellung von rund 3,2 Mrd. Euro + Beitrag der Länder mit der KrankenhausstrukturfondsVerordnung (KHSFV)
  • Mindestens 15% sind für Informationssicherheit auszugeben.
  • Professionalisierung & Zertifizierung der IT Abteilung
  • Ausbau des ISMS / Roll Out des ISMS in weitere Abteilungen
  • Standardisierung, Digitalisierung, Automatisierung häufig wiederkehrender Geschäftsanforderungen (Services)

Das DSP ISMS Enterprise Management System

  • Security Organisationen, die an ISO 27001 / B3S / TISAX o.ä. Standard orientiert ein ISMS implementieren wollen

Das DSP ISMS Enterprise Management System unterstützt die Risiko- und Security-Organisation ganzheitlich bei dem Betrieb eines zertifizierungsfähigen Information Security Management Systems gemäß Best Practices und der Norm ISO 27001 und abgeleiteten Standards.
Mit den im Standard ausgelieferten Funktionen, Prozessen und Verfahren erfüllt das System alle normativen Anforderungen und dokumentiert alle Security relevanten Vorgänge. Im Security-Dashboard hat die Security Organisation einen sofortigen Überblick über die Sicherheitslage.

Mit den im ISMS-Dashboard im Standard ausgelieferten Statistiken und Reports mit Drill-Down-Funktion, kann die Security-Organisation sehr schnell sicherheitsrelevante Vorgänge identifizieren, den Status feststellen und steuernd eingreifen.

Das Risikomanagement sowie das Dokumentenmanagement sind nahtlos integriert. Ihr Zertifizierungs-Audit bestehen Sie auf dieser Basis mit überschaubarem Aufwand und stellen sicher, dass Sie keine wichtige Anforderung übersehen haben.

Häufig wiederkehrende sicherheitsrelevante Vorgänge wie z.B. Mitarbeiter Onboarding werden vom System prozessorientiert digitalisiert und automatisiert.

Mit den nützlichen DSP-Add-On Modulen wie DSP IAM werden Zugangsberechtigungen für AD-gesteuerte Systeme voll automatisiert beantragt, genehmigt, umgesetzt und bei Bedarf wieder entzogen.
Mit dem DSP Prüfungsmodul werden vergebene Zugangsberechtigungen gemäß ISO 27001 Anhang A 9.2.5 und 9.2.6 automatisiert geprüft und bei Bedarf entzogen. Dadurch wird Information Security in die Prozessketten integriert hergestellt und gleichzeitig sinkt der manuelle Aufwand der gesamten Organisation signifikant.
Das System basiert auf der Matrix42-Applikation und ist ein datenbankgestütztes ERP-System, adaptiert auf die Bedürfnisse des Information Security Managements.
Mit dem System werden Information Assets (Informationswerte) prozessorientiert gemanaged.
Meldewege für Information Security Incidents werden genau so effizient unterstützt wie Security Changes und Security Service Requests.
Mit dem integrierten Rollen- und Rechte-Konzept bildet die Applikation Ihre Security-Organisation ab. So wird sichergestellt, dass Informationssicherheit umfassend in Ihrer Organisation unterstützt wird.

ISMS-Dashboard
  • Integriertes ISMS Portal & ISMS Dashboard
  • Dokumentenmanagement & Risikomanagement
  • Information Asset Management
  • Incident, Change, Service Request Management
  • Reporting
  • QM und KVP Management
  • Standardverfahren für alle normativ geforderten, regelmäßigen Pflegearbeiten
  • Service Katalog & Service Desk
  • Security Operation Center (SOC)
  • Matrix42: Ticket- und Workflow-Engine

 

Vorhandene und vom Kunden bereitzustellende Systeme können integriert werden, z.B.:

  • Monitoring
  • Identity & Access Management
  • Firewall, Viruswall
  • Network Access Control (NAC)
  • Endpoint Security
  • Mobile Device Management
    ....

Voraussetzung: Bereitstellung der Matrix42-Applikation durch den Kunden (Alternativ: Lieferung und Basis-Implementierung durch DSP). Durch Integration weiterer technischer Systeme kann das DSP ISMS Enterprise Management System zu einem Security Incident and Event Management System (SIEM) ausgebaut werden.

IAM-Unterstützung durch das DSP-ISMS

Wovon Sie und Ihr Unternehmen profitieren:

  1. Sicherstellung, dass die SecurityVorgaben der Leitung strukturiert und prozessorientiert umgesetzt werden
  2. Bereitstellung einer geeigneten Ressource zur Unterstützung des ISMS
  3. Etablierung eines Rollen und RechteKonzeptes für die SecurityOrganisation
  4. Bereitstellung einer Plattform zur Veröffentlichungder von der Leitung vorgebebenen SecurityRegelungen
  5. Sicherstellung, dass Security relevante Aufgaben und Vorgänge transparent gemäß der Normvorgaben bearbeitet werden
  6. Schneller Überblick über die Sicherheitslage im Unternehmen durch aussagekräftige SecurityReports
  7. Reports weisen die Einhaltung der Vorgaben gemäß ISO 27001, DSGVO nach (Compliance) bzw. zeigen Defizite, Bearbeitungsstatus u. Ursachen auf
  8. Das DSP ISMS unterstützt die regelmäßigen internen u. externen Audits durch digitale Geschäftsaufzeichnungen aller Securityrelevanten Vorgänge im Unternehmen
  1. Unterstützung der Rolle des Information Security Beauftragten der Abteilung bei der Erledigung seiner bereichsspezifischen SecurityAufgaben
  2. Gleichzeitige Einbindung des ISB in die SecurityOrganisation und Prozesse
  3. Standardisierung, Digitalisierung, Automatisierung von Anträgen, Genehmigungen, Einrichtung, Überwachung, Überprüfung u. Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services (IAM)
  4. Standardisierung, Digitalisierung von normativ geforderten, häufig wiederkehrenden Pflegearbeiten
  5. Erfassung, Inventarisierung, prozessorientiertes Management, Reporting der Information Assets des Bereichs
  6. Unterstützung der SecurityProzesse Incident Management, Change Management und Service Request Management
  7. Security Reporting
  8. Umfassende Unterstützung von Audits durch standardisierte Reports, individuell gestaltete Systemabfragen, digitale Aufzeichnungen zu Security relevanten Vorgängen und Auditnachweisen von normativ geforderten Prüfvorgängen
  9. Signifikante Reduktion des Aufwands der SecurityOrganisation bei gleichzeitiger Qualitätserhöhung und Herstellung der Auditierfähigkeit

 

  1. Bereitstellung einer professionellen Applikation zur Unterstützung des Information Security Managements gemäß ISO 27001/B3S/TISAX und abgeleiteter Standards
  2. Etablierung eines Rollen & RechteKonzeptes für die SecurityOrganisation, das die Zusammenarbeit und Trennung von Verantwortung („SOD“) unterstützt
  3. Unterstützung von Dokumentenmanagement und Dokumentenlenkung mit Veröffentlichung von selektierten Dokumenten im SecurityPortal
  4. Unterstützung des Risikomanagements mit einer RisikoDatenbank, zugewiesenen RisikoVerantwortlichen und einem prozessorientierten
    Management von Risiken (inklusive der Genehmigung von Restrisiken)
  5. Erfassung jedes Securityrelevanten Vorgangs mit einem digitalen Geschäftsvorgang (Ticket)
  6. Erstellung von elektronischen SecurityAufgaben (Tasks) mit Delegation an Mitarbeiter (m/w/d) mit Netzwerkzugriff (ADKonto) in der Organisation zur transparenten, nachverfolgbaren, auditierbaren Bearbeitung von SecurityVorgängen
  7. Erfassung, Inventarisierung, prozessorientiertes Management, Reporting der Information Assets
  8. Unterstützung der SecurityProzesse Incident Management, Change Management und Service Request Management
  9. Standardisierung, Digitalisierung und Automatisierung der häufig wiederkehrenden und normativ geforderten Pflegearbeiten und Vorgänge
  10. Bereitstellung einer Applikation zur Unterstützung der Prozesse für das Zugriffsmanagement auf zu schützende Informationen und informationsverarbeitende Systeme (IAM) mit Antrag, Genehmigung, Einrichtung, Überwachung der Nutzung, Überprüfung von Zugriffsrechten, Entziehung von Zugriffsrechten sowie Auditierung von vergebenen Zugriffsrechten
  11. Security Reporting
  12. Umfassende Unterstützung von Audits durch standardisierte Reports, individuell gestaltete Systemabfragen, digitale Aufzeichnungen zu Securityrelevanten Vorgängen und Auditnachweisen von normativ geforderten Prüfvorgängen
  13. Signifikante Reduktion des Aufwands der SecurityOrganisation bei gleichzeitiger Qualitätserhöhung und Herstellung der Auditierfähigkeit

Zu den genannten Vorteilen für die ITSecurityOrganisation bietet das DSP ISMS der ITAbteilung folgende Vorteile:

  1. Bereitstellung eines integrierten Systems für das Service Mgmt. gemäß ITIL®/ISO200001 u. Information Security Managements gemäß ISO 27001 in der ITAbteilung
  2. Vermeidung von Doppelerfassung u. Mehrarbeit von allen Securityrelev. Vorgängen in der ITAbtlg.
  3. Erweitertes AssetManagements um eine SecurityKlassifizierung von Services und ITRessourcen
  4. Erweiterung der Standard Service Mgmt. Prozesse
    (Incident, Change, Service Request, AssetManagement) um die normativ geforderten SecurityProzessAnforderungen
  5. Standardisierung, Digitalisierung von Anträgen, Genehmigungen, Einrichtung, Überwachg., Überprfg., sowie Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services
  6. Automatisierung von Prozessen u. Prozessschritten durch vielseitige Integrationsmöglichkeit mit weiteren technischen ITSystemen
  7. Signifikante Reduktion des Service & Supportaufwands in der ITAbteilg. bei gleichzeitiger Verbesserung des Kundenservice durch Bereitstellg. eines
    zentralen Service & SecurityPortals mit einem Katalog für die Beantragung, Genehmigung, Einrichtung, Überwachung, Überprüfung, sowie Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services (IAM)
  8. Sicherstellung, dass alle organisatorischen, prozessualen u. normativ geforderten Verfahren gemäß der ISO 27001 nachweislich u. nachweisbar in der ITAbteilung eingehalten u. umgesetzt werden, bei gleichzeitiger Hebung von Synergieeffekten mit dem Service Mgmt. System der ITAbteilung durch ein integriertes DSP ISMS Mgmt. System
  9. Das DSP ISMS Management System ist die Basis für eine auditierfähige Dokumentation des Tagesgeschäftes u. eine Zertifizierung gemäß ISO 27001 im ITBereich

Möchten Sie noch mehr über das DSP ISMS erfahren? Dann kontaktieren Sie uns und lassen Sie sich beraten.