Bedrohungsbewertung, Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit

Threat assessment, risk management, consultant GPT, consultant GPT, information security, VDA ISA (TISAX), threat assessment, risk management, information security

Risikomanagement, BeraterGPT, ConsultantGPT, Informationssicherheit, VDA ISA (TISAX), Bedrohungsbewertung, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

BeraterGPT, VDA ISA (TISAX), Risikobewertung, BeraterGPT, Risikomanagement, Informationssicherheit, Bedrohungsbewertung, Informationssicherheit, Bedrohungsmanagement

ConsultantGPT, VDA ISA (TISAX), risk assessment, BeraterGPT, Risikomanagement, information security, Bedrohungsbewertung, Informationssicherheit, threat management

JEDERZEIT VERFÜGBAR UND KOSTENLOS, DER ONLINE ISMS BERATERGPT FÜR SCHNELLE FORTSCHRITTE:

Suche

KRITIS: Gibt es nur einen Risikoeigentümer laut dem B3S für die Gesundheitsversorgung im Krankenhaus?

Marc Borgers

10. Mai 2019

Risikomanagement, Sicherheitsstandard, Gesundheitswesen, Informationssicherheit, ISO27001, Krankenhaus, Risikoeigentümer, ISMS, ITSecurity, ANFRM

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus beinhaltet in der aktuell vorliegenden Version (v1.0) eine Vorgabe im Kontext des Risikomanagements, die aufgrund ihrer Formulierung leicht zu einem Missverständnis führen kann. Aus diesem Grund möchte ich im Folgenden darauf eingehen:

ANF-RM 8: „Ein Risikoeigentümer MUSS festgelegt werden, der die Ergebnisse der Risikoanalyse und -behandlung verantwortet sowie alle nachfolgenden Überprüfungen zu Risikoanalysen und -behandlungen durchführt.“

Das Wort "Ein" ist in diesem Fall unbedingt im Kontext der Anforderungen ANF-RM 9 und ANF-RM 14 zu betrachten:

ANF-RM 9: "Grundsätzlich SOLL der Verantwortliche des Informationssystems als Risikoeigentümer der Information auch die Informationsrisiken ermitteln."
ANF-RM 14: "Für alle Informationswerte MÜSSEN einzelne Personen oder Personengruppen als Verantwortliche festgelegt werden."

Denn mit dem Wort "Informationssystem" unter ANF-RM 9, ist nicht das Informationssicherheitsmanagementsystem (ISMS) gemeint. Der Informationssicherheitsbeauftrage ist somit nicht der Risikoeigentümer aller Informationsrisiken. Eine solche Auslegung, in der der Informationssicherheitsbeauftrage der Risikoeigentümer aller Informationsrisiken ist, würde auch im direkten Widerspruch zur Vorgabe 6.1.2 c) 2) der ISO 27001 stehen, in der von einer Mehrzahl an Risikoeigentümern die Rede ist.

Sie haben Fragen?

Manchmal ist ein direktes Gespräch einfach unschlagbar. Zögern Sie bitte nicht über unseren Telefonkalender ein kostenloses Erstgespräch zu vereinbaren!