1 Einleitung/Allgemeines
ISM für den Gesundheitsbereich
Bereits durch den (Arbeits-)Titel der ISO 27799 [1] wird schnell deutlich, welchen Regelungsgehalt diese Norm hat, denn er lautet „Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002”. Dieser Titel wurde im Vergleich zur Vorgängerversion dieser Norm aus dem Jahre 2008 ein wenig modifiziert, der noch lautete: „Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002”. Durch den modifizierten Titel der 2016er Version wird damit noch deutlicher, dass es sich bei der ISO 27799 um eine Norm handelt, die speziell auf das Informationssicherheitsmanagement zugeschnitten wurde. Es handelt sich mithin um eine, die vergleichbar mit der ISO/IEC 27011 für die Telekommunikationsbranche oder der ISO/IEC 27019 für die Energiewirtschaft ist.
Bereits durch den (Arbeits-)Titel der ISO 27799 [1] wird schnell deutlich, welchen Regelungsgehalt diese Norm hat, denn er lautet „Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002”. Dieser Titel wurde im Vergleich zur Vorgängerversion dieser Norm aus dem Jahre 2008 ein wenig modifiziert, der noch lautete: „Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002”. Durch den modifizierten Titel der 2016er Version wird damit noch deutlicher, dass es sich bei der ISO 27799 um eine Norm handelt, die speziell auf das Informationssicherheitsmanagement zugeschnitten wurde. Es handelt sich mithin um eine, die vergleichbar mit der ISO/IEC 27011 für die Telekommunikationsbranche oder der ISO/IEC 27019 für die Energiewirtschaft ist.
Durch den von der ISO 27799:2016 (im Nachfolgenden „ISO 27799”) eingenommenen Fokus steht damit für den Gesundheitsbereich eine Norm zur Verfügung, die die sinnvollen und notwendigen Maßnahmen der ISO/IEC 27001 [2] in Verbindung mit der ISO/IEC 27002 [3] speziell auf diesen Bereich bezogen adressiert. Dabei ist anzumerken, dass die ISO/IEC 27001 auch trotz Anwendung der ISO 27799 weiterhin die Norm zur Zertifizierung des zugrunde liegenden Informationssicherheitsmanagementsystems ist.
Was ist zu tun
Genauso wie die ISO/IEC 27002 gibt auch die ISO 27799 nur vor, „was zu tun ist”. Diese beiden Normen sagen jedoch beide nicht, wie die entsprechenden Vorgaben im Einzelfall konkret umzusetzen sind. Daher bleibt es auch bei Anwendung der ISO 27799 dabei, dass der jeweils Verantwortliche bei der Umsetzung der Vorgaben von sich aus „kreativ” werden muss. Ferner ist die ISO 27799 genauso wie die ISO/IEC 27002 technologieneutral formuliert und gibt daher bspw. keine technischen Standards vor, die erfüllt werden müssen.
Genauso wie die ISO/IEC 27002 gibt auch die ISO 27799 nur vor, „was zu tun ist”. Diese beiden Normen sagen jedoch beide nicht, wie die entsprechenden Vorgaben im Einzelfall konkret umzusetzen sind. Daher bleibt es auch bei Anwendung der ISO 27799 dabei, dass der jeweils Verantwortliche bei der Umsetzung der Vorgaben von sich aus „kreativ” werden muss. Ferner ist die ISO 27799 genauso wie die ISO/IEC 27002 technologieneutral formuliert und gibt daher bspw. keine technischen Standards vor, die erfüllt werden müssen.