Implementierung eines ISMS nach ISIS12® in der Gesundheits- und Sozialwirtschaft

Ausgangssituation

Die Diskussionen im Rahmen der Einführung der DSGVO machten deutlich, dass Daten und Informationen in vielfacher Hinsicht von Interesse sind. Daten und Informationen sind das „Gold” der Zukunft und gleichzeitig auch Grundlage für stetig raffinierter werdende kriminelle Handlungen. Ein Daten- und Informationsverlust kann dazu verwendet werden, Schaden im großen Stil zu verursachen. Gleichzeitig werden Unternehmen aber auch immer abhängiger von ihren IT-Systemen, da ohne IT-Unterstützung kaum ein Geschäftsprozess noch vernünftig durchgeführt werden kann.
 
Eine hundertprozentige Informationssicherheit kann niemals gewährleistet werden, aber sicherlich ist das Verständnis bei etwaigen Vorfällen gering, wenn nicht ein gewisses Maß an Vorkehrungen und Maßnahmen zum Schutz der Daten und Informationen getroffen wurde. Eine Einstellung nach dem Motto „Wer wirklich will, der kommt an unsere Daten” kann deshalb heute nicht mehr akzeptiert werden.

Ein zertifiziertes ISMS (Information Security Management System) hilft, entsprechende Risiken zu verringern und gleichzeitig die Verfügbarkeit der Systeme zu verbessern. Insbesondere für kleine und mittlere Unternehmen (KMU) kommt eine Zertifizierung nach BSI IT-Grundschutz oder ISO 27001 aber aufgrund des Umfangs und des damit verbundenen Aufwands nicht infrage.

ISIS12® in der Gesundheits- und Sozialwirtschaft als Alternative zu überdimensionierten Standards

Daher wurde vom Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. die Alternative ISIS12® entwickelt, welches auf die Bedürfnisse von kleineren und mittleren Unternehmen zugeschnitten ist. Dabei orientiert sich ISIS12® am BSI-Grundschutz und kann nachträglich in andere Managementsysteme integriert werden, sodass selbst bei einem Start mit ISIS12® einer Weiterentwicklung in Richtung ISO 27001 oder BSI IT-Grundschutz nichts im Wege steht.

ISIS12® beschreibt ein sequenzielles Verfahren in zwölf Schritten:

ISIS12® ist – zumindest teilweise – auf einem PDCA-Zyklus aufgebaut, der zu einem kontinuierlichen Verbesserungsprozess führt. Hierdurch wird das ISMS regelmäßig aktualisiert und auf dem aktuellen Stand gehalten.

Zertifizierung optional

Eine Zertifizierung nach ISIS12® nach Einführung eines entsprechenden ISMS ist zwar optional, aus unserer Sicht aber dringend zu empfehlen. Der damit verbundene Mehraufwand ist sehr überschaubar und zusätzlich hat man im Falle eines möglichen Zwischenfalls (der auch bei einem etablierten ISMS nicht ganz ausgeschlossen werden kann) einen Nachweis, dass man alles Mögliche getan hat, um Vorfälle zu vermeiden.

Nachdem ISIS12® erfolgreich in Ihrem Unternehmen eingeführt wurde und der Schritt 12 abgeschlossen ist, können Sie sich durch eine Zertifizierung nach ISIS12® höchste Qualität bescheinigen lassen.

Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei eintägige Überwachungsaudits statt. Im dritten Jahr kann durch ein Re-Zertifizierungsaudit das Zertifikat neu erteilt werden. Die Zertifizierung wird in der Regel nach einem 2-tägigen Audit durch zertifizierte und speziell geschulte ISIS12-Auditoren durch die DQS GmbH (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) erteilt.

Wie kann Sie Rödl & Partner ganz konkret unterstützen?

Als IT- und Unternehmensberater, Wirtschaftsprüfer, Steuerberater und Rechtsanwälte mit langjähriger Erfahrung in der Gesundheits- und Sozialwirtschaft kennen wir die Bedarfe und Prozesse sehr genau.
 

• der konkreten Projektorganisation und Zeitplanung zur Umsetzung,
• der Schulung und Sensibilisierung im Umfeld eines ISMS,
• der Beantragung von Fördermitteln sowie
• der konkreten Umsetzung