Gibt es nur einen Risikoeigentümer laut dem B3S für die Gesundheitsversorgung im Krankenhaus?

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus beinhaltet in der aktuell vorliegenden Version (v1.0) eine Vorgabe im Kontext des Risikomanagements, die aufgrund ihrer Formulierung leicht zu einem Missverständnis führen kann. Aus diesem Grund möchte ich im Folgenden darauf eingehen:

 

  • ANF-RM 8: Ein Risikoeigentümer MUSS festgelegt werden, der die Ergebnisse der Risikoanalyse und -behandlung verantwortet sowie alle nachfolgenden Überprüfungen zu Risikoanalysen und -behandlungen durchführt.“

 

Das Wort "Ein" ist in diesem Fall unbedingt im Kontext der Anforderungen ANF-RM 9 und ANF-RM 14 zu betrachten: 

 

  • ANF-RM 9: "Grundsätzlich SOLL der Verantwortliche des Informationssystems als Risikoeigentümer der Information auch die Informationsrisiken ermitteln."
  • ANF-RM 14: "Für alle Informationswerte MÜSSEN einzelne Personen oder Personengruppen als Verantwortliche festgelegt werden."

 

Denn mit dem Wort "Informationssystem" unter ANF-RM 9, ist nicht das Informationssicherheitsmanagementsystem (ISMS) gemeint. Der Informationssicherheitsbeauftrage ist somit nicht der Risikoeigentümer aller Informationsrisiken. Eine solche Auslegung, in der der Informationssicherheitsbeauftrage der Risikoeigentümer aller Informationsrisiken ist, würde auch im direkten Widerspruch zur Vorgabe 6.1.2 c) 2) der ISO 27001 stehen, in der von einer Mehrzahl an Risikoeigentümern die Rede ist.


Beratung: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

ISMS Auf-
und Ausbau.

Audit: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

Durchführung von
internen Audits.

Audit: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog

Durchführung von Zertifizierungsaudits.

KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung, Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting

Durchführung von
KRITIS Prüfungen.

Termin prüfen: B3S, KRITIS, § 8a BSIG, KritisV, IT-SiKat, ISO 27019, §11 1a EnWG, §11 1b EnWG, VAIT, ISO 27001, ISO 27002, VDA ISA, TISAX, IT-Sicherheitskatalog


TISAX® und ENX® sind eingetragene Marken der ENX Association.