Informationssysteme

für die Medizin

Leitlinie Informationssicherheit

Informationssicherheit stellt für die IMP ein äußerst wichtiges Qualitätsmerkmal in ihrer gesamten Leistungserbringung dar, da sie nicht nur Dienstleister im Bereich der Softwareentwicklung und ‑wartung für medizinische Zwecke ist, sondern ferner auch ihre wesentlichen strategischen und operativen Geschäftsprozesse durch Informationstechnologie maßgeblich unterstützt werden.

Ziel der IMP ist es, Daten und IT-Systeme in ihrer Verfügbarkeit und Resilienz so zu sichern, dass die zu erwartenden Ausfallzeiten und der maximale Datenverlust toleriert werden können. Auch gilt es, die Integrität und Authentizität, sowie die Vertraulichkeit von sensiblen Unternehmensdaten und personenbezogenen Daten in ausreichender Weise zu garantieren; hierzu gehören Personaldaten, ebenso wie technische und kaufmännische Unterlagen.

Schadensfälle mit hohen finanziellen Auswirkungen und immaterielle Folgen in Form von Imageschäden für die IMP müssen verhindert werden. Beeinträchtigungen hinsichtlich der Verfügbarkeit und Resilienz der unternehmenseigenen IT-Anwendungen und ‑Systeme können ebenso gravierende Auswirkungen nach sich ziehen wie Unregelmäßigkeiten in Bezug auf die Integrität und Authentizität, sowie die Vertraulichkeit der verarbeiteten , bzw. benutzten Informationen.

Die IMP hat zur kontinuierlichen Aufrechterhaltung ihrer Informationssicherheit ein Informationssicherheitsmanagementsystem (ISMS) entsprechend dem Standard ISO 27001 eingerichtet, das zum 9. November 2022 in Kraft gesetzt wurde. Eine Zertifizierung durch externe Auditoren ist im April 2023 erfolgt.

Vertraulichkeit, Integrität und Authentizität

Die kontrollierte und sichere Handhabung aller Informationen, die im Rahmen der Geschäftstätigkeit der IMP sowohl intern, als auch extern anfallen, verarbeitet oder abgelegt werden, wird somit stets an den drei Schutzzielen Vertraulichkeit, Integrität und Authentizität sowie Verfügbarkeit und Resilienz ausgerichtet.

Bestehende Risiken für die Informationssicherheit sollen erkannt, durch geeignete Maßnahmen vermieden, bzw. gemindert und verbleibende Restrisiken geeignet behandelt werden. Zu diesen Risiken können u.a. die unvollständige, bzw. nicht korrekte Einhaltung von gesetzlichen Vorgaben zählen, die unbefugte und ggf. unbemerkte Weitergabe von Betriebsgeheimnissen und personenbezogenen Daten, oder die Verletzung von Kundenvorgaben.

Die Entwicklung und Auslieferung der Software-Produkte muss sicher und dokumentiert erfolgen, da die Kunden der IMP mit diesen Software-Produkten personenbezogene Daten, mit teilweise besonderem Schutzbedarf, verwalten. Die IMP versucht die Kenntnisnahme von personenbezogenen Daten, die ihre Kunden verarbeiten (Patienten, Spender, Mitarbeiter), im Rahmen der Servicetätigkeit zu vermeiden, soweit dies möglich ist.

Ferner müssen die unternehmenseigenen IT-Anwendungen und ‑Systeme so betrieben werden, dass Geschäftsinformationen hinreichend schnell verfügbar sind. Ausfälle, die zu deutlichen Terminüberschreitungen bei der Abwicklung von Projekten oder anderen wichtigen Geschäftsvorhaben führen, sind nicht tolerierbar.

Die IMP schafft bei ihren Mitarbeitern ein Bewusstsein für Informationssicherheit und strebt die kontinuierliche Verbesserung ihrer Prozesse rund um die Informationssicherheit an.