Gelebte Informationssicherheit auf allen Ebenen: Was ist ein Information Security Management System (ISMS)?
von Jann Gerrit Ohlendorf am 08. Mai 2024
So wird die ISO/IEC 27001 bei Caspar Health konkret wirksam
Im vergangenen Jahr hat Caspar Health sein Information Security Management System (ISMS) nach der Norm ISO/IEC 27001 zertifizieren lassen. 2024 stand dann schon unser erstes ISMS-Audit auf der Agenda - und wurde erfolgreich gemeistert.
Doch was verbirgt sich hinter der Norm und dem Informationssicherheitssystem? Grund genug, einmal den Zusammenhängen zwischen Managementsystemen, (ISO)-Normen und Anforderungen eines zertifizierten ISMS auf den Grund zu gehen.
Auf der Basis des Information Security Management Systems ist die Sicherheit von Informationen bei Caspar Health auf nachweislich hohem Niveau zertifiziert. Das bedeutet: Im Unternehmen ist mit dem ISMS ein systematischer Prozess zur Sicherung und kontinuierlichen Kontrolle und Qualitätsverbesserung der Informationssicherheit verankert - auf allen Ebenen des Unternehmens, in allen Bereichen und auch in der Zusammenarbeit mit Partnern!
—-----------------------------------------------------------------------------
Managementsysteme wie ein ISMS und die Einhaltung und Zertifizierung von Normen mit verbindlichen Standards und Verfahren sind sehr wichtig für Organisationen und Unternehmen. Sie helfen
- hochstabile, auch bei Veränderungen resiliente, und reproduzierbare Prozesse und Arbeitsweisen zu etablieren,
- Risiken besser zu managen,
- sowie den erreichten Qualitäts- oder Konformitäts-Standard nach außen sichtbar zu dokumentieren
Die damit verbundenen Schritte sind komplex und auf den ersten Blick nicht einfach zu verstehen. Daher beantworten dieser Text die wichtigsten Fragen dazu:
- Was ist der Zusammenhang zwischen den ISO-Reihen und Managementsystemen?
- Was leistet ein Informationssicherheitsmanagementsystem (ISMS)?
- Wie kann die Methodik der ISO-Norm 27001 genutzt werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Unternehmen zuverlässig zu gewährleisten?
- Wie wird die Zertifizierung durch eine akkreditierte Zertifizierungsstelle (sogenannte “Benannte Stelle”) nachgewiesen?
- Wie wird die Norm ISO/IEC 27001 in Einrichtungen und konkret bei Caspar Health umgesetzt?
Informationssicherheit ist in der Gesundheitsversorgung besonders wichtig
ISO-Normen und Zertifizierungen unterstützen Unternehmen in der Prozessqualität
ISO-Normen helfen Unternehmen, ihre Prozesse und Standards zu standardisieren und fortlaufend zu verbessern. Dazu enthalten die Normen klare Anforderungen und Leitlinien. Diese sind inhaltlich weitgehend branchenunabhängig angelegt. Die Ausgestaltung muss daher zunächst auf das Unternehmen ausgerichtet werden und fortlaufend auf den Unternehmenszweck und die Unternehmensentwicklung angepasst und weiterentwickelt werden.
Die ISO-Normen der International Organization for Standardization (ISO), in der Vertreter*innen aus nationalen Normungsorganisationen verschiedener Länder vertreten sind, zählen zu den bekanntesten und bedeutendsten der Welt. Die ISO hat Managementsystem-Standards erarbeitet, die einer vergleichbaren Management-Systemstruktur folgen. Das allgemeine Qualitätsmanagement wird von der ISO 9001 abgedeckt, dem weltweit am stärksten verbreiteten Standard. Im Mittelpunkt der ISO 27001-Reihe steht die Sicherstellung und fortlaufende Verbesserung der Informationssicherheit .
Caspar Health verfügt über beide Zertifikate: Im Herbst 2022 hatte Caspar Health bereits die Zertifizierung nach DIN ISO 9001 für das Qualitätsmanagementsystem der Caspar Clinic, digitales Centrum für Gesundheit, erfolgreich absolviert. Diese Zertifizierung gilt für Prävention, Rehabilitation und Nachsorge mit unserer virtuellen Klinik. Im März 2023 folgte die Zertifizierung des Informationssicherheitsmanagementsystems (ISMS) nach DIN EN ISO/IEC 27001: 2015. Caspar Health hat die ISMS-Zertifikatsurkunden nach der Prüfung und einem Prüfbericht in englischer und deutscher Version am 4. April 2023 erhalten.
Mit der Norm ISO/IEC 27001 ein Informationssicherheitsmanagementsystem erfolgreich auf den Weg bringen
Die Norm ISO/IEC 27001 standardisiert ein Informationssicherheitsmanagementsystem (ISMS) aus der ISO/IEC 27000-Reihe, im Englischen kurz auch ISO27k genannt. ISO steht dabei für die “International Organization for Standardization”. Hinter der Abkürzung IEC verbirgt sich die International Electrotechnical Commission (IEC). Wie alle ISO-Standards werden auch die Standards zur Informationssicherheit regelmäßig überarbeitet. Sie enthalten vor allem bewährte Verfahren (“best practice”), wie die Informationssicherheit in einer Organisation oder in einem Unternehmen organisiert werden kann. Die Norm ISO/IEC 27001 aus der 2700X-Reihe ist spezifisch darauf ausgelegt, die Konformität eines ISMS mit den aufgeführten Standards zu verwirklichen.
Laut der International Standardization Organization (ISO) hat ein zertifiziertes ISMS sechs Vorteile für Unternehmen oder Organisationen:
- Resilienz gegenüber Cyber-Attacken
- Vorbereitung auf neue Bedrohungen
- Integrität, Vertraulichkeit und Verfügbarkeit der Daten
- Sicherheit quer durch die Unterstützungsfunktionen
- Unternehmensweiter Schutz
- Kostenersparnis.
Ein ISO-konformes ISMS ist daher ein Managementsystem. Das Ziel eines Managementsystems ist es, die Ziele, die in einem Prozess definiert worden sind, zu erreichen, zu überwachen und, wo möglich, Verbesserungen abzuleiten.
Die Implementierung folgt meistens einem ähnlichen Muster: Die in Leitlinien formulierten spezifischen Ziele werden zunächst nach Chancen und Risiken analysiert. Das Management des Unternehmens legt fest, welche Rollen, Verantwortlichkeiten, Methoden und Verfahren sowie welche Art von Regeln, Prozessen und Verfahren zur Zielerreichung erforderlich sind.
Zusammen mit der Umsetzung des Managementsystems werden Maßnahmen zur fortlaufenden Kontrolle der Zielerreichung festgelegt. Der Prozess sollte dabei so aufgesetzt sein, dass fortlaufend Verbesserungspotenziale erkannt und genutzt werden können (ständige Qualitätsverbesserung). Das Regelwerk eines Managementsystems dieser Art lässt sich nicht nur für die Sicherstellung der Informationssicherheit einsetzen. Es kann auch für Themen wie Compliance, Umweltschutz oder Qualität nützlich sein, für die aber auch eigene ISO-Normen zur Verfügung stehen.
Unternehmen können die Konformität ihres Informationssicherheitsmanagementsystems mit der ISO-Norm aus der 27000X-Reihe zertifizieren lassen. Einer Zertifizierung von unabhängiger dritter Stelle wird regelmäßig eine besondere Glaubwürdigkeit attestiert, weil die Konformität mit der Norm so nicht nur behauptet, sondern auch nachgewiesen wird. Wenn eine Zertifizierung angestrebt wird, muss eine für die Zertifizierung zugelassene Institution, eine sogenannte “Benannte Stelle”, dafür genutzt werden. Die Zertifizierung kann von Unternehmen und Einrichtungen jeder Art angestrebt werden.
Das 27001-Zertifikat ist populär, weltweit gefragt und wird beständig weiterentwickelt
Erhebungen der ISO zufolge konnten zuletzt mehr als 58.000 Zertifikate der Norm ISO 27001 weltweit gezählt werden. Rund ein Fünftel der Zertifizierungen entfiel dabei auf IT-Unternehmen. Die Zertifizierung ist jedoch für alle Sektoren und Bereiche und auch für beispielsweise Nicht-Regierungsorganisationen möglich.
ISO-Normen werden laufend weiterentwickelt und auch in deutscher Sprache veröffentlicht. Die deutschen Versionen tragen das Kürzel DIN. DIN steht für das Deutsche Institut für Normung. Die letzte deutsche Version wurde im Juni 2017 als DIN EN ISO/IEC 27001:2017 veröffentlicht. Der neuere Standard ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht; zunächst noch nicht in deutscher Version. Seit dem Inkrafttreten der ISO/IEC 27001:2022 gilt eine Übergangsfrist zum Umstieg von Zertifizierungen nach der ISO/IEC 27001:2013 auf die neue Version der Norm.
In der Neufassung von 2022 sind die Themen Cybersicherheit und Datenschutz prominent gewichtet. Außerdem enthält die Norm genaue Regelungen zur Cloud-Sicherheit und Straffungen zu Kontrollmaßnahmen in der Norm wurden gestrafft (93 statt 114) und überarbeitet. Zu den elf neuen Maßnahmen zählen Regelungen für Business Continuity bei der Nutzung von Cloud-Diensten und Maßnahmen zur Verhinderung von ungewollten Datenabflüssen. Für die Inhaber des Zertifikats auf dem früheren Stand gilt eine Übergangsfrist.
Sebastian Knapp, Leiter Klinische Studien aus dem Research und Development Team bei Caspar Health, sagt: „Wichtig sind die Fristen: Die 36-monatige Übergangsphase läuft bereits und gültige Zertifikate müssen demnach bis spätestens Ende Oktober 2025 auf die ISO/IEC 27001:2022 umgestellt sein!” Ab dem 01.05. 2024 müssen alle Erst- und Rezertifizierungsaudits nach der aktuellen Version der Norm ablaufen. Das Transitionsaudit kann parallel zu einem regulären Audit stattfinden.
Unternehmen wie Caspar Health, die bereits ein zertifiziertes ISMS eingerichtet haben, sind gut auf die neue Norm vorbereitet. Sie decken bereits einen Großteil der erforderlichen Veränderungsschritte ab.
Wichtige Prinzipien der ISO/IEC 270001-Reihe: Vertraulichkeit, Integrität, Verfügbarkeit
Wann ist ein Unternehmen konform mit der Norm?
Laut ISO zeigt sich die Konformität darin, “dass eine Organisation oder ein Unternehmen ein System zum Management von Risiken, die mit Erfassung und Besitz oder der Verarbeitung von Daten verbunden sind, etabliert hat, und dass dieses System sämtliche in dieser Norm festgelegten und bewährten Verfahren und Grundsätze beachtet” (“Conformity with ISO/IEC 27001 means that an organization or business has put in place a system to manage risks related to the security of data owned or handled by the company, and that this system respects all the best practices and principles enshrined in this International Standard.”)
Die Verfahren und Grundsätze bilden die so genannte CIA Triade:
- Vertraulichkeit bedeutet, dass nur die richtigen, also die dafür berechtigten Personen, Zugang zu Informationen der Organisation haben dürfen.
- Die Integrität der Daten bedeutet, dass Informationen, die zur Ausübung des Geschäfts benötigt oder gespeichert sind, sicher verwahrt und nicht beschädigt oder gelöscht werden.
- Die Verfügbarkeit der Daten umfasst die Anforderung, dass die Organisation und auch Kund*innen, zur Ausübung des Geschäfts oder zur Befriedigung von Kund*innen-Interessen, auf die Informationen jederzeit zugreifen können.
Dazu kommen weitere Sicherheitsziele und Anforderungen wie Authentizität von Informationen, Verlässlichkeit, Zurechenbarkeit beim Informationsmanagement oder Zugriffssteuerung.
Zusammengefasst: Ein ISMS, dass den Ansprüchen der Norm gerecht wird, stellt die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen sicher, indem im gesamten Unternehmen und für alle relevanten Prozesse und Abläufe ein Risikomanagementprozess angewandt wird. Ein ISMS gibt Kund*innen, Patient*innen oder auch Behörden und anderen Institutionen auf objektivierbarer Basis Vertrauen, dass Risiken angemessen gehandhabt werden.
Die notwendigen Vorgaben und Prozesse, die umgesetzt werden müssen, ergeben sich aus dem Unternehmenskontext sowie den gesetzlichen Grundlagen, die im Gesundheitsbereich besondere Anforderungen vorschreiben.
Kurz: Die Norm ISO 27001 sagt aus, WAS zu tun ist, aber überlässt das WIE den Anwender*innen.
Die Implementierung eines ISMS - und bei Caspar Health - folgt einem festen Muster
Wer ein ISMS implementieren und anschließend zertifizieren will, muss den Unternehmenszweck immer im Blick behalten.
Abhilash Thobias, ISO Information Security Officer bei Caspar Health, erläutert: “Die Vorgaben sind abstrakt gehalten. Nur so kann sichergestellt werden, dass die Umsetzung die Abläufe und Prozesse angemessen und effektiv abbildet, unterstützt und das ISMS zur kontinuierlichen Verbesserung genutzt werden kann.”
Die Schritte zur Einführung lassen sich verallgemeinern:
1 Am Anfang steht die Festlegung des Umfangs und die Abdeckung des ISMS. Hier wird festgelegt, welche Abteilungen im Unternehmen, welche Systeme und Prozesse in das ISMS einbezogen werden sollen.
Für Caspar Health gilt der Geltungsbereich: “Entwicklung, Support und Betrieb einer E-Health Plattform zur digitalen Therapie”. Die ISMS Policy und ISMS Guidelines für Mitarbeiter*innen beziehen alle Bereiche des Unternehmens mit ein.
Das Management, in der Norm als “oberste Leitung” definiert, hat bei der Umsetzung eine besondere Verantwortung. Diese Verantwortung wird in der einschlägigen Fachliteratur entsprechend hervorgehoben: “Der Katalog von Aufgaben macht deutlich, dass die oberste Leitung die Informationssicherheit nicht als untergeordnete Aufgabe betrachten, nur in der IT-Abteilung ansiedeln oder etwa nur einem IT-Sicherheitsbeauftragten als Feigenblatt übertragen kann. Vielmehr ist umfassend Führung und Verantwortung in Bezug auf diese Aufgabe wahrzunehmen.”
2 Als zweiter Schritt folgt eine Risikobewertung. Das verantwortliche Team identifiziert und klassifiziert dazu die für das Unternehmen relevanten Bedrohungen und Risiken in systematischer Form, damit angemessene Sicherheitsmaßnahmen getroffen werden können.
3 Als dritter Schritt werden konkrete Sicherheitsziele definiert; die drei Hauptprinzipien des ISMS (Vertraulichkeit der Daten, Integrität, Verfügbarkeit) spielen eine Schlüsselrolle. Die Sicherheitsziele werden in einer ISMS Policy zusammengefasst und sollten spezifisch und mit Maßnahmen zu ihrer Erreichung hinterlegt sein.
4 Als vierter Schritt werden Kontrollpunkte auf Grundlage der Risikobewertung definiert, die Kontrollen und Maßnahmen auslösen, um Bedrohungen und Risiken zu minimieren.
5 Zuletzt wird das ISMS als kontinuierlichen Verbesserungsprozess angelegt, so dass auch das ISMS fortlaufend darauf überprüft wird, ob es effektiv ist und ob sich weitere Verbesserungen erzielen lassen.
Der PDCA-Ansatz (Plan – Do – Check – Act), ins Deutsche zumeist übersetzt als “Planen – Umsetzen – Überprüfen – Handeln”, hat seinen Ursprung in der Qualitätssicherung und erlaubt es, einen Prozess für kontinuierliche Anpassung, Lernen und Verbesserung aufzusetzen. Zusammen mit dem kontinuierlichen Verbesserungsprozess bildet der PDCA-Zyklus die Grundlage aller Qualitätsmanagementsysteme, auch der ISO-Reihe ISO/IEC 27001.
Durch den Kontinuierlichen Verbesserungsprozess können stetig Abläufe und Prozesse verbessert und Effizienz und Zufriedenheit von Kund*innen und Mitarbeiter*innen gesteigert werden. Die ISO-Norm stellt die Aufgabe, die dokumentierte Umsetzung als dauerhaft gelebte Praxis umzusetzen, zu kontrollieren und fortlaufend auf Verbesserungspotenziale zu überprüfen.
“Etwas verkürzt könnte man sagen: In der Phase P konzipiert man das ISMS und die gewünschte Sicherheit, in D setzt man das Konzept um, in C findet eine Überprüfung statt, in A werden die Prüfergebnisse sowie ggf. neue Anforderungen ausgewertet und führen möglicherweise zu Änderungsbedarf. Mit diesem steigt man wieder in P ein usw.”
Ist das ISMS erstellt, die Wirkung kontrolliert, und sind die ISMS Policy und ISMS Guidelines verankert und bekannt gemacht, sowie vorbereitende Schulungen eingeführt und zum Schluss im Unternehmensalltag integriert, kann die Zertifizierung nach dem international gültigen Standard der ISO-Norm 27001 mit guten Erfolgsaussichten konkret starten.
Schematische Übersicht zu einer regelkonformen Umsetzung des ISMS: Dem abstrakt gehaltenen Grundgerüst sind die im Anhang A aufgeführten 114 Kontrollmaßnahmen gegenübergestellt. Quelle: TÜV Süd (Institution, die Caspar Health zertifiziert hat).
Zertifizierung und Re-Zertifizierung laufen durch zwei Phasen
Die Zertifizierung gliedert sich in der Regel in zwei Phasen: Das Vor-Audit und das eigentliche Audit.
Oft wird ein Vor-Audit (sogenanntes Phase 1/Stage 1 Audit) an einem Tag vorgeschaltet, das 3 Wochen bis maximal 6 Monate vor dem eigentlichen Audit (Stage 2 Audit) stattfinden sollte. Die Dauer richtet sich nach der Unternehmensgröße. Bei weniger als 100 Mitarbeitenden sind dafür beispielsweise 4 Tage zu veranschlagen.
Im Vor-Audit wird überprüft, ob das Unternehmen bereit für die eigentliche Zertifizierung ist und ob die notwendigen Prozesse, Verfahren und Kontrollen im Einklang mit der ISO/IEC 27001 entwickelt wurden.
Nur ein gelebtes ISMS kann hohen Erwartungen gerecht werden, weshalb bei Caspar Health unternehmensweite ISMS-Schulungen stattgefunden haben.
Alle Mitarbeiter*innen des Unternehmens wurden für die Anforderungen der Informationssicherheit in ihrem jeweiligen Tätigkeitsbereich sensibilisiert und geschult.
Sind alle Anforderungen und mögliche Nachbesserungen erfüllt, findet das eigentliche Audit statt. Hier wird die Implementierung der Verfahren und Kontrollen innerhalb des Unternehmens auditiert und dabei kontrolliert, ob die Bedingungen für die Zertifizierung gegeben sind. Diese offizielle Begutachtung ist die Voraussetzung für die Ausstellung des ISO/IEC 27001-Zertifikats mit einer Gültigkeit von drei Jahren, sofern jedes Jahr ein Überwachungsaudit erfolgreich durchlaufen wird.
Die Zertifizierung dokumentiert, dass Caspar Health ein effektives ISMS implementiert hat.
Das zertifizierte ISMS hat klare Vorteile für die Kunden und Partner von Caspar Health
Welchen Nutzen hat ein zertifiziertes ISMS?
Laut der International Standardization Organization (ISO) hat ein zertifiziertes ISMS sechs Vorteile für Unternehmen oder Organisationen:
- Resilienz gegenüber Cyber-Attacken,
- Vorbereitung auf neue Bedrohungen,
- Qualitative Datenaspekte Integrität, Vertraulichkeit und Verfügbarkeit der Daten
- Sicherheit quer durch die Unterstützungsfunktionen
- Unternehmensweiter Schutz
- Kostenersparnis.
Nach Angaben der ISO arbeiten Unternehmen effizienter, die den ganzheitlichen Ansatz der Norm zur Informationssicherheit in ihre Organisationsprozesse, Informationssysteme und die Kontrolle durch das Management integrieren. Außerdem nehmen diese Unternehmen häufig eine führende Rolle in ihrer Branche ein. Die spezifischen Vorteile eines zertifizierten ISMS ergeben sich aus dem unternehmensbezogenen Einsatz.
Für Caspar Health heißt das: Durch das zertifizierte ISMS können wir sicherstellen, dass wir soweit wie möglich mit den im zertifizierten ISMS verankerten Prozessen sensible, vertrauliche und medizinisch-relevante Patient*innen-Daten und Informationen, sicher aufbewahrt und vor unbefugtem Zugriff schützen.
Das ISMS unterstützt uns dabei, Bedrohungen und Risiken frühzeitig zu erkennen und zu minimieren, um den Schutz, die Integrität und Verfügbarkeit von Daten und Informationen zu gewährleisten. Darüber hinaus trägt das ISMS von Caspar Health dazu bei, Compliance mit geltenden Vorschriften und Datenschutzbestimmungen sicherzustellen und damit das Vertrauen von Patient*innen, Kund*innen und externen Partner*innen zu erhalten und zu erhöhen. Der kontinuierliche Verbesserungsprozess stärkt durch die hohe Informationssicherheit die Prozess- und Ablaufqualität im gesamten Unternehmen und trägt damit maßgeblich zur Geschäftskontinuität bei.
Maximilian von Waldenfels, Chief Operations Officer von Caspar Health, resümiert: “Unser ISMS ist für Patient*innen, Partner-Kliniken, Partner*innen und Interessengruppen jeglicher Art nachvollziehbar: Unsere ISMS Policy und ISMS Guidelines legen für alle Mitarbeiter*innen verbindlich fest, wie Informationssicherheit im Alltag verwirklicht wird.”
Er sieht das erfolgreiche Zertifikat als “unser Versprechen nach innen und außen: Caspar Health gewährleistet ein besonders hohes Maß an Informationssicherheit und steht für Kontinuität in allen Geschäftsprozessen.”
Verwendete Literatur:
Michael Brenner, Nils gentschen Felde, Wolfgang Hommel et al: Praxisbuch ISO/IEC 27001 : Management der Informationssicherheit und Vorbereitung auf die Zertifizierung. Zweite neu bearbeitete Auflage, München 2017
DIN Deutsches Institut für Normung e.V. (Hrsg.) Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern.Berlin; Wien; Zürich, 2018
Reuter, Jürgen; Klett, Gerhard; Kersten, Heinrich: IT-Sicherheitsmanagement nach der neuen ISO 27001. ISMS, Risiken, Kennziffern, Controls. Zweite, aktualisierte Auflage, Wiesbaden 2019