Information Security Mgmt. System

Information Security Mgmt. System

Warum sollten Sie ein Information Security Management System einsetzen?

Weil:

  • zur historisch gewachsenen Struktur in Krankenhäusern häufig nicht die Informationssicherheit gehört
  • durch die heutige Digitalisierung die Abhängigkeit von IT-Services steigt
  • Hacker-Angriffe bspw. auf Krankenhäuser vermieden werden müssen

Rechtliche Anforderungen: KRITIS

§75c SGB (Sozialgesetzbuch)

Im 4. Quartal 2022 wird die neue ISO Norm 27001 und folgerichtig auch die ISO 27002, die die Vorgaben aus der 27001 mit konkreten Maßnahmen untermauert, durch die International Organisation for Standardisation (ISO, UK) veröffentlicht.

Die ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollten – und hat sich als praxisnaher Standard-Leitfaden in vielen IT- und Security-Abteilungen als anerkanntes Werkzeug etabliert. Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Betriebe, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant: Zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen; zum anderen aber auch, weil diese Änderungen auf die zum Jahresende erwartete Aktualisierung von  ISO 27001 durchschlagen werden und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden. Grund genug also, die neue ISO 27002 genauer unter die Lupe zu nehmen.

Neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung von ISO 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur des Umsetzungsleitfadens zur Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

- 37 Sicherheitsmaßnahmen im Bereich „Organizational controls“

- 8 Sicherheitsmaßnahmen im Bereich „People controls“

- 14 Sicherheitsmaßnahmen im Bereich „Physical controls“

- 34 Sicherheitsmaßnahmen im Bereich „Technological controls“

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen fokussierter gerecht zu werden. Weitere 58 Sicherheitsmaßnahmen wurden überarbeitet und mit zeitgemäßen Anforderungen angepasst.

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein, in der Summe setzen sie aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Threat Intelligence

Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Information Security for the Use of Cloud Services

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen.

ICT Readiness for Business Continuity

Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte ITK‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der ITK nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Physical Security Monitoring

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken bzw. deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Configuration Management

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Information Deletion

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

Quelle: dqsglobal

Fazit

Viele Krankenhäuser haben noch kein ISMS gemäß den Anforderungen implementiert oder sind erst dabei, ein ISMS aufzubauen. Sicherheitslücken sind nicht auszuschließen. Compliance ohne ein vollständiges ISMS ist nicht nachweisbar.

  • Sicherheitslücken gefährden Patienten, den Ruf sowie den Betrieb der medizinischen Einrichtung und verursachen erhebliche Kosten
  • Ohne ein funktionierendes ISMS System kann kein Krankenhaus mehr existieren
  • Die Bundesregierung hat die Defizite im Gesundheitswesen erkannt und gehandelt
  • Verschärfung der Anforderungen mit Vorschrift zur Implementierung eines ISMS
  • Digitalisierungskampagne im Gesundheitswesen
  • Bereitstellung von rund 3,2 Mrd. Euro + Beitrag der Länder mit der KrankenhausstrukturfondsVerordnung (KHSFV)
  • Mindestens 15% sind für Informationssicherheit auszugeben.
  • Professionalisierung & Zertifizierung der IT Abteilung
  • Ausbau des ISMS / Roll Out des ISMS in weitere Abteilungen
  • Standardisierung, Digitalisierung, Automatisierung häufig wiederkehrender Geschäftsanforderungen (Services)

Das DSP ISMS Enterprise Management System

  • Security Organisationen, die an ISO 27001 / B3S / TISAX o.ä. Standard orientiert ein ISMS implementieren wollen

Das DSP ISMS Enterprise Management System unterstützt die Risiko- und Security-Organisation ganzheitlich bei dem Betrieb eines zertifizierungsfähigen Information Security Management Systems gemäß Best Practices und der Norm ISO 27001 und abgeleiteten Standards.
Mit den im Standard ausgelieferten Funktionen, Prozessen und Verfahren erfüllt das System alle normativen Anforderungen und dokumentiert alle Security relevanten Vorgänge. Im Security-Dashboard hat die Security Organisation einen sofortigen Überblick über die Sicherheitslage.

Mit den im ISMS-Dashboard im Standard ausgelieferten Statistiken und Reports mit Drill-Down-Funktion, kann die Security-Organisation sehr schnell sicherheitsrelevante Vorgänge identifizieren, den Status feststellen und steuernd eingreifen.

Das Risikomanagement sowie das Dokumentenmanagement sind nahtlos integriert. Ihr Zertifizierungs-Audit bestehen Sie auf dieser Basis mit überschaubarem Aufwand und stellen sicher, dass Sie keine wichtige Anforderung übersehen haben.

Häufig wiederkehrende sicherheitsrelevante Vorgänge wie z.B. Mitarbeiter Onboarding werden vom System prozessorientiert digitalisiert und automatisiert.

Mit den nützlichen DSP-Add-On Modulen wie DSP IAM werden Zugangsberechtigungen für AD-gesteuerte Systeme voll automatisiert beantragt, genehmigt, umgesetzt und bei Bedarf wieder entzogen.
Mit dem DSP Prüfungsmodul werden vergebene Zugangsberechtigungen gemäß ISO 27001 Anhang A 9.2.5 und 9.2.6 automatisiert geprüft und bei Bedarf entzogen. Dadurch wird Information Security in die Prozessketten integriert hergestellt und gleichzeitig sinkt der manuelle Aufwand der gesamten Organisation signifikant.
Das System basiert auf der Matrix42-Applikation und ist ein datenbankgestütztes ERP-System, adaptiert auf die Bedürfnisse des Information Security Managements.
Mit dem System werden Information Assets (Informationswerte) prozessorientiert gemanaged.
Meldewege für Information Security Incidents werden genau so effizient unterstützt wie Security Changes und Security Service Requests.
Mit dem integrierten Rollen- und Rechte-Konzept bildet die Applikation Ihre Security-Organisation ab. So wird sichergestellt, dass Informationssicherheit umfassend in Ihrer Organisation unterstützt wird.

ISMS-Dashboard
  • Integriertes ISMS Portal & ISMS Dashboard
  • Dokumentenmanagement & Risikomanagement
  • Information Asset Management
  • Incident, Change, Service Request Management
  • Reporting
  • QM und KVP Management
  • Standardverfahren für alle normativ geforderten, regelmäßigen Pflegearbeiten
  • Service Katalog & Service Desk
  • Security Operation Center (SOC)
  • Matrix42: Ticket- und Workflow-Engine

 

Vorhandene und vom Kunden bereitzustellende Systeme können integriert werden, z.B.:

  • Monitoring
  • Identity & Access Management
  • Firewall, Viruswall
  • Network Access Control (NAC)
  • Endpoint Security
  • Mobile Device Management
    ....

Voraussetzung: Bereitstellung der Matrix42-Applikation durch den Kunden (Alternativ: Lieferung und Basis-Implementierung durch DSP). Durch Integration weiterer technischer Systeme kann das DSP ISMS Enterprise Management System zu einem Security Incident and Event Management System (SIEM) ausgebaut werden.

IAM-Unterstützung durch das DSP-ISMS

Wovon Sie und Ihr Unternehmen profitieren:

  1. Sicherstellung, dass die SecurityVorgaben der Leitung strukturiert und prozessorientiert umgesetzt werden
  2. Bereitstellung einer geeigneten Ressource zur Unterstützung des ISMS
  3. Etablierung eines Rollen und RechteKonzeptes für die SecurityOrganisation
  4. Bereitstellung einer Plattform zur Veröffentlichungder von der Leitung vorgebebenen SecurityRegelungen
  5. Sicherstellung, dass Security relevante Aufgaben und Vorgänge transparent gemäß der Normvorgaben bearbeitet werden
  6. Schneller Überblick über die Sicherheitslage im Unternehmen durch aussagekräftige SecurityReports
  7. Reports weisen die Einhaltung der Vorgaben gemäß ISO 27001, DSGVO nach (Compliance) bzw. zeigen Defizite, Bearbeitungsstatus u. Ursachen auf
  8. Das DSP ISMS unterstützt die regelmäßigen internen u. externen Audits durch digitale Geschäftsaufzeichnungen aller Securityrelevanten Vorgänge im Unternehmen
  1. Unterstützung der Rolle des Information Security Beauftragten der Abteilung bei der Erledigung seiner bereichsspezifischen SecurityAufgaben
  2. Gleichzeitige Einbindung des ISB in die SecurityOrganisation und Prozesse
  3. Standardisierung, Digitalisierung, Automatisierung von Anträgen, Genehmigungen, Einrichtung, Überwachung, Überprüfung u. Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services (IAM)
  4. Standardisierung, Digitalisierung von normativ geforderten, häufig wiederkehrenden Pflegearbeiten
  5. Erfassung, Inventarisierung, prozessorientiertes Management, Reporting der Information Assets des Bereichs
  6. Unterstützung der SecurityProzesse Incident Management, Change Management und Service Request Management
  7. Security Reporting
  8. Umfassende Unterstützung von Audits durch standardisierte Reports, individuell gestaltete Systemabfragen, digitale Aufzeichnungen zu Security relevanten Vorgängen und Auditnachweisen von normativ geforderten Prüfvorgängen
  9. Signifikante Reduktion des Aufwands der SecurityOrganisation bei gleichzeitiger Qualitätserhöhung und Herstellung der Auditierfähigkeit

 

  1. Bereitstellung einer professionellen Applikation zur Unterstützung des Information Security Managements gemäß ISO 27001/B3S/TISAX und abgeleiteter Standards
  2. Etablierung eines Rollen & RechteKonzeptes für die SecurityOrganisation, das die Zusammenarbeit und Trennung von Verantwortung („SOD“) unterstützt
  3. Unterstützung von Dokumentenmanagement und Dokumentenlenkung mit Veröffentlichung von selektierten Dokumenten im SecurityPortal
  4. Unterstützung des Risikomanagements mit einer RisikoDatenbank, zugewiesenen RisikoVerantwortlichen und einem prozessorientierten
    Management von Risiken (inklusive der Genehmigung von Restrisiken)
  5. Erfassung jedes Securityrelevanten Vorgangs mit einem digitalen Geschäftsvorgang (Ticket)
  6. Erstellung von elektronischen SecurityAufgaben (Tasks) mit Delegation an Mitarbeiter (m/w/d) mit Netzwerkzugriff (ADKonto) in der Organisation zur transparenten, nachverfolgbaren, auditierbaren Bearbeitung von SecurityVorgängen
  7. Erfassung, Inventarisierung, prozessorientiertes Management, Reporting der Information Assets
  8. Unterstützung der SecurityProzesse Incident Management, Change Management und Service Request Management
  9. Standardisierung, Digitalisierung und Automatisierung der häufig wiederkehrenden und normativ geforderten Pflegearbeiten und Vorgänge
  10. Bereitstellung einer Applikation zur Unterstützung der Prozesse für das Zugriffsmanagement auf zu schützende Informationen und informationsverarbeitende Systeme (IAM) mit Antrag, Genehmigung, Einrichtung, Überwachung der Nutzung, Überprüfung von Zugriffsrechten, Entziehung von Zugriffsrechten sowie Auditierung von vergebenen Zugriffsrechten
  11. Security Reporting
  12. Umfassende Unterstützung von Audits durch standardisierte Reports, individuell gestaltete Systemabfragen, digitale Aufzeichnungen zu Securityrelevanten Vorgängen und Auditnachweisen von normativ geforderten Prüfvorgängen
  13. Signifikante Reduktion des Aufwands der SecurityOrganisation bei gleichzeitiger Qualitätserhöhung und Herstellung der Auditierfähigkeit

Zu den genannten Vorteilen für die ITSecurityOrganisation bietet das DSP ISMS der ITAbteilung folgende Vorteile:

  1. Bereitstellung eines integrierten Systems für das Service Mgmt. gemäß ITIL®/ISO200001 u. Information Security Managements gemäß ISO 27001 in der ITAbteilung
  2. Vermeidung von Doppelerfassung u. Mehrarbeit von allen Securityrelev. Vorgängen in der ITAbtlg.
  3. Erweitertes AssetManagements um eine SecurityKlassifizierung von Services und ITRessourcen
  4. Erweiterung der Standard Service Mgmt. Prozesse
    (Incident, Change, Service Request, AssetManagement) um die normativ geforderten SecurityProzessAnforderungen
  5. Standardisierung, Digitalisierung von Anträgen, Genehmigungen, Einrichtung, Überwachg., Überprfg., sowie Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services
  6. Automatisierung von Prozessen u. Prozessschritten durch vielseitige Integrationsmöglichkeit mit weiteren technischen ITSystemen
  7. Signifikante Reduktion des Service & Supportaufwands in der ITAbteilg. bei gleichzeitiger Verbesserung des Kundenservice durch Bereitstellg. eines
    zentralen Service & SecurityPortals mit einem Katalog für die Beantragung, Genehmigung, Einrichtung, Überwachung, Überprüfung, sowie Entzug von Zugriffsrechten auf zu schützende Informationen u. informationsverarbeitende Services (IAM)
  8. Sicherstellung, dass alle organisatorischen, prozessualen u. normativ geforderten Verfahren gemäß der ISO 27001 nachweislich u. nachweisbar in der ITAbteilung eingehalten u. umgesetzt werden, bei gleichzeitiger Hebung von Synergieeffekten mit dem Service Mgmt. System der ITAbteilung durch ein integriertes DSP ISMS Mgmt. System
  9. Das DSP ISMS Management System ist die Basis für eine auditierfähige Dokumentation des Tagesgeschäftes u. eine Zertifizierung gemäß ISO 27001 im ITBereich

Möchten Sie noch mehr über das DSP ISMS erfahren? Dann kontaktieren Sie uns und lassen Sie sich beraten.