KRITIS Prüfung: Gibt es nur einen Risikoeigentümer laut dem B3S für die Gesundheitsversorgung im Krankenhaus?

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus beinhaltet in der aktuell vorliegenden Version (v1.0) eine Vorgabe im Kontext des Risikomanagements, die aufgrund ihrer Formulierung leicht zu einem Missverständnis führen kann. Aus diesem Grund möchte ich im Folgenden darauf eingehen:

 

  • ANF-RM 8: Ein Risikoeigentümer MUSS festgelegt werden, der die Ergebnisse der Risikoanalyse und -behandlung verantwortet sowie alle nachfolgenden Überprüfungen zu Risikoanalysen und -behandlungen durchführt.“

 

Das Wort "Ein" ist in diesem Fall unbedingt im Kontext der Anforderungen ANF-RM 9 und ANF-RM 14 zu betrachten: 

 

  • ANF-RM 9: "Grundsätzlich SOLL der Verantwortliche des Informationssystems als Risikoeigentümer der Information auch die Informationsrisiken ermitteln."
  • ANF-RM 14: "Für alle Informationswerte MÜSSEN einzelne Personen oder Personengruppen als Verantwortliche festgelegt werden."

 

Denn mit dem Wort "Informationssystem" unter ANF-RM 9, ist nicht das Informationssicherheitsmanagementsystem (ISMS) gemeint. Der Informationssicherheitsbeauftrage ist somit nicht der Risikoeigentümer aller Informationsrisiken. Eine solche Auslegung, in der der Informationssicherheitsbeauftrage der Risikoeigentümer aller Informationsrisiken ist, würde auch im direkten Widerspruch zur Vorgabe 6.1.2 c) 2) der ISO 27001 stehen, in der von einer Mehrzahl an Risikoeigentümern die Rede ist.

Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting

TISAX® ist eine eingetragene Marke der ENX Association. Ich stehe in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.