ISO 27001

Damit der CIO ruhiger schläft

Martin Ortgies ist Fachjournalist für IT und Telekommunikation.
Im Gesundheitswesen bedeutet IT-Sicherheit mehr als Geschäftserfolg. Hier geht es oft um Leben und Tod. Für den CIO heißt das, er muss sicherstellen, das IT-Fehler weitestgehend vermieden werden.
Die Elektronische Patienakte hat die Kliniken noch abhängiger von der IT gemacht.
Die Elektronische Patienakte hat die Kliniken noch abhängiger von der IT gemacht.
Foto: UKE

Das Universitätsklinikum Hamburg-Eppendorf (UKE) gilt als das modernste Klinikum Europas. Dort werden bereits heute alle Prozesse elektronisch abgewickelt. Doch diese Medaille hat auch eine Kehrseite: Das Klinikum ist mehr als andere abhängig von der Verfügbarkeit der IT-Systeme. Wie kann der CIO da noch ruhig schlafen? - Indem er sich bestätigen lässt, dass er alles Notwendige getan hat.

Vor allem die Ablösung der papierbasierenden durch die elektronische Patientenakte hat die IT-Verfügbarkeit in den Mittelpunkt des Interesses gerückt: "Wir müssen die Verfügbarkeit und Stabilität der IT-Systeme jederzeit gewährleisten", bestätigt Peter Gocke, Geschäftsbereichsleiter Informationstechnologie des UKE. Deshalb habe sich sein Bereich der Sicherheits-Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutz unterzogen. Die internationale Norm gibt ein Informations-Sicherheits-Management-System (ISMS) vor, mit dem sichergestellt werden soll, dass normierte Abläufe dauerhaft eingehalten werden.

Das ISO-Zertifikat fungiert damit quasi als offizieller Nachweis dafür, dass das Klinikum alles Notwendige unternommen hat. um für die Informationssicherheit zu sorgen. Aus Sicht des CIO gibt es zu diesem Weg keine Alternative.

Die ISO-27001-Norm

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit Januar 2006 die ISO-27001-Zertifizierung an.

  • Sie basiert auf dem IT-Grundschutz.

  • Das Zertifikat weist nach, dass ein Informationsverbund die wesentlichen Anforderungen der Norm erfüllt und dass er dazu die "Grundschutz"-Vorgehensweise anwendet.

  • Der Fokus liegt auf dem sicheren Betrieb der IT-Systeme.

  • Zunächst wird der BSI-Katalog von Best-Practice-Maßnahmen abgearbeitet, anschließend aus Sicht möglicher Schadens­szenarien überprüft, ob diese Maßnahmen auch ausreichen.