Die Ausgangslage
Der Medizinische Dienst Sachsen erbringt sozialmedizinische Beratungs- und Begutachtungsdienstleistungen im System der gesetzlichen Kranken- und Pflegeversicherung. Dabei verarbeitet er in großem Umfang personenbezogene Sozial- und Gesundheitsdaten der Versicherten. Zur Unterstützung und Digitalisierung der hiermit verbundenen Geschäftsprozesse betreibt der MD Sachsen zentrale IT-Verfahren sowohl eigenverantwortlich als auch über mehrere IT-Dienstleister. Die gesetzlichen Grundlagen erfordern ein hohes Maß an Vertraulichkeit und Integrität bei der Verarbeitung der Daten und insgesamt ein hohes Informationssicherheitsniveau. Vor diesem Hintergrund wurde 2018 ein externer Informationssicherheitsexperte beauftragt. Mit der GISA ist seitdem ein Branchenexperte und etablierter IT-Dienstleister an Board, der über ein breites IT-Sicherheits-Know-how verfügt.
Das Projekt
Um die Informationssicherheitslage im MD Sachsen bewerten zu können, führte GISA einen selbst ent-wickelten „Quickcheck“ des Informationssicherheitsmanagementsystems (ISMS) durch. Dieses Verfahren erfasst wesentliche Inhalte eines ISMS und ermöglicht die grafische Darstellung des Umsetzungsstatus. Anschließend erhielt die Geschäftsführung des MD Sachsen die identifizierten Handlungsfelder im ISMS, die Aufgaben des Informationssicherheitsbeauftragten wurden gemeinsam festgelegt und priorisiert. Im nächsten Schritt aktualisierte GISA das Sicherheitskonzept und stellte es strukturell auf die Vorgehensweise nach dem BSI-Grundschutz-Kompendium um. Gleichzeitig wurde das bis dahin verwendete und nicht weiterentwickelte BSI-Grundschutztool durch das Open-Source-ISMS-Tool „verinice“ abgelöst. Jetzt war die inhaltliche und technische Basis für ein wirksames ISMS geschaffen. Die Sicherheitsrichtlinien konnten nun überarbeitet bzw. neu erstellt und in das Qualitätsmanagementsystem integriert werden.
Die Rolle
Gemeinsam mit dem IT-Leiter des MD Sachsen führt der Informationssicherheitsbeauftragte regelmäßig ISMS-Foren durch, in denen die aktuelle IT-Gefährdungslage erörtert und sicherheitsrelevante Aufgaben abgestimmt werden. Außerdem erhält der MD Sachsen Ad-hoc-Informationen zu aktuellen Sicherheitsereignissen oder -lücken sowie über neu erschienene Patches der Software-Hersteller, die für den IT-Betrieb des MD Sachsen relevant sind. Die kontinuierliche Prüfung der Sicherheitsmaßnahmen erfolgt in Form von Audits. Für diese stehen detaillierte Auditpläne bereit, die im Falle eines externen Lieferantenaudits gemeinsam mit der Datenschutzbeauftragten des MD Sachsen umgesetzt werden.
Die Vorteile
Insgesamt profitiert der MD Sachsen von den Erfahrungen der GISA auf dem Gebiet der IT-Sicherheit im öffentlichen Sektor, speziell im Gesundheitswesen. Einen besonderen Mehrwert bildet das Know-how des Informationssicherheitsbeauftragten als ISO 27001-Auditor für einen DAkkS (Deutsche Akkreditierungsstelle GmbH)-akkreditierten Zertifizierer. Durch die enge Vernetzung des Informationssicherheitsbeauftragten mit dem IT-Sicherheits-Team der GISA kann der MD Sachsen ohne Zeitverzug zur aktuellen, weltweiten IT-Sicherheitslage informiert werden. Die tiefe Kenntnis der im MD Sachsen genutzten IT-Verfahren und -Systeme ermöglicht es zudem, die Sicherheitshinweise schnell zu filtern und für Entscheidungen konkret aufzubereiten.
Highlights
Die IT-technische und -normative Fachkunde der GISA als externer Dienstleister verbindet sich in beispielgebender Weise mit der branchenspezifischen prozessualen Expertise des MD Sachsen zu einem arbeitsteiligen, erfolgreichen Gesamtkonzept für Informationssicherheit.