Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei ISO-13485-Audits immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u.a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat.

Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten nicht zu gefährden. Sie sollten aber keine unnötigen Aufwände betreiben. Daher sollten sie verstehen,

  • ob sie das Thema ISMS und damit die ISO 27001 überhaupt betrifft,
  • welche Anforderungen die ISO 27001 an sie stellt und
  • wie sie ggf. ein solches ITSM einführen können (insbesondere, wenn es bereits ein QMS gibt).

1. Wen die ISO 27001 betrifft

a) Regulatorischer Rahmen

Organisationen können verschiedene Rollen einnehmen:

  • Inverkehrbringer von Medizinprodukten
  • Betreiber von Medizinprodukten
  • Dienstleister für Inverkehrbringer oder Betreiber

Die regulatorischen Anforderungen richten sich v.a. an die Inverkehrbringer und Betreiber:

Rolle

MDR, IVDR

DSGVO

DIGAV

Inverkehrbringer

Ja (u.a. Herstellung, „Zulassung“, Post-Market Surveillance)

Nur bedingt (wie jede andere Firma)

Ja, technische Anforderungen an die DiGA, die in den Spezifikationen berücksichtigt werden müssen

Betreiber

Nur bedingt (siehe eigener Artikel dazu)

Ja (u.a. Schutz von Gesundheitsdaten)

Ja, technische und organisatorische Maßnahmen, zum Schutz von Gesundheitsdaten

Dienstleister

Nur bedingt (z.B. über QSVs)

Nur bedingt (wie jede andere Firma; Ausnahme: Auftragsverarbeiter)

Ja, Cloud Server, Plattformen, Auftragsverarbeiter müssen ihre Konformität mit der ISO 27001 oder BSI Standard 200-2 nachweisen, um von DiGAs genutzt werden zu können.

Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) betrachtet die Firmen sowohl als Betreiber als auch als Hersteller.

b) Anwendbarkeit der ISO 27001 für Betreiber

Die Betreiber müssen die Gesundheitsdaten durch geeignete technische und organisatorische Maßnahmen gewährleisten. Das fordert u.a. die Datenschutzgrundverordnung DSGVO. Dazu ist i.d.R. ein Informationssicherheitsmanagementsystem (ISMS) erforderlich.

Um dessen Wirksamkeit nachzuweisen, sollten die Firmen den Vorgaben einschlägiger Normen wie der ISO 27001 oder den BSI-Standards (u.a. BSI 200-2) folgen.

Einige Regularien wie die DiGAV schreiben sogar eine Zertifizierung nach einem dieser Standards vor.

c) Anwendbarkeit der ISO 27001 für Hersteller

Für die Entwicklung sicherer Medizinprodukte gelten andere Normen

Die Hersteller müssen die IT-Sicherheit ihrer Produkte gewährleisten. Das setzt einen „Secure Development Lifecycle“ voraus. Dieser beinhaltet Vorgaben zur Entwicklung, zum Testing und zur Überwachung von Produkten, die Software enthalten.

Hierzu gibt es Normen und Leitfäden, z.B. die Normenfamilien IEC 62443 und ISO 15408 sowie der Leitfaden der Benannten Stellen, der auf dem Leitfaden des Johner Instituts aufbaut.

Für den Schutz der eigenen IT und Software ist die ISO 27001 dienlich

Eine direkte Forderung nach einem ISMS gibt es nicht. Allerdings müssen die Hersteller sicherstellen, dass die Medizinproduktesoftware bereits zum Zeitpunkt der Auslieferung frei von Schad-Code ist. Voraussetzung dafür ist u.a., dass Hersteller ihre eigene Informationstechnik schützen. Dazu ist ein ISMS dienlich.

Daher ist die ISO 27001 für Organisationen, die „nur“ in der Rolle eines Herstellers agieren, ein dienlicher Leitfaden, aber keine zwingende Notwendigkeit.

d) Anwendbarkeit für Dienstleister

In ihrer Rolle als Dienstleister müssen Firmen meist nur die Vorgaben erfüllen, die für alle Firmen bzw. Organisationen gelten. Allerdings verpflichten sie regelmäßig deren Kunden (die Inverkehrbringer/Hersteller und Betreiber), weitere Anforderungen zu erfüllen.

Falls der Dienstleister ein Auftrags(daten)verarbeiter ist, gelten für ihn vergleichbare Anforderungen wie für den Betreiber. Das bedingt ein ISMS, das z.B. nach ISO 27001 zertifiziert ist.

e) Zusammenfassung

Abhängig von ihrer Rolle müssen Organisationen unterschiedliche regulatorische Anforderungen erfüllen.

Ontologie, das die Abhängigkeiten zwischen Regularien, Objekten, Maßnahmen und Normen beschreibt. Die ISO 27001 ist für insbesondere für Medizinproduktehersteller relevant, die auch als Betreiber agieren und den Datenschutz von Gesundheitsdaten gewährleisten müssen. Hersteller müssen jedoch auch die eigenen Informationen und Informationstechnik schützen, um zu vermeiden, dass sie unsichere Produkte auf den Markt bringen.
Abb. 1: Die ISO 27001 ist insbesondere für Medizinproduktehersteller relevant, die auch als Betreiber agieren und den Datenschutz von Gesundheitsdaten gewährleisten müssen. Hersteller müssen jedoch auch die eigenen Informationen sowie die eigene Informationstechnik schützen, um zu vermeiden, dass sie unsichere Produkte auf den Markt bringen.

2. Was die ISO 27001 fordert (für eilige Leser)

a) Es gibt Gemeinsamkeiten mit einem QM-System konform ISO 13485

Die ISO 27001 beschreibt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), so wie die ISO 13485 die Anforderungen an ein Qualitätsmanagementsystem beschreibt. Daher finden sich in der ISO 27001 ähnliche Elemente wie in der ISO 13485, z.B.:

  • Verantwortung der Führung (Kapitel 5) u.a. mit der Pflicht, eine „Politik“ festzulegen
  • Forderung, die notwendigen Ressourcen (insbesondere kompetentes Personal) bereitzustellen (Kapitel 7.1 f.) und Informationen und Dokumentation zu lenken (Kapitel 7.3 ff.)
  • Forderung nach einer Managementbewertung und nach internen Audits (Kapitel 9)
  • Verpflichtung zur kontinuierlichen Verbesserung (Kapitel 10) inklusive Korrektur- und Vorbeugemaßnahmen (CAPA)
  • Risikomanagementprozess (u.a. Kapitel 6). Allerdings sind hier die Risiken anders definiert.
Mindmap mit Inhaltsverzeichnis der ISO 27001: Abb. 2: Die ISO 27001 umfasst zehn Kapitel sowie einen normativen Anhang. Einige Kapitel weisen Ähnlichkeiten mit der ISO 13485 auch, andere sind spezifisch für die IT-Sicherheit.
Abb. 2: Die ISO 27001 umfasst zehn Kapitel sowie einen normativen Anhang. Einige Kapitel weisen Ähnlichkeiten mit der ISO 13485 auf, andere sind spezifisch für die IT-Sicherheit (zum Vergrößern klicken).

b) Es gibt Anforderungen spezifisch für die IT-Sicherheit

Anforderungen im Anhang A

Die ISO 27001 beschreibt im normativen Anhang A viele konkrete Anforderungen, Ziele und Maßnahmen.

Mindmap, der die Struktur des Anhangs A der ISO 27001 zeigt
Abb. 3: Der Anhang A der ISO 27001 nennt konkrete Anforderungen, Ziele und Maßnahmen (zum Vergrößern klicken).

Beispielsweise fordert die Norm im Anhang A 9.2 eine Benutzerverwaltung. Diese muss das Ziel erfüllen, dass sichergestellt ist, dass „befugte Benutzer Zugang zu Systemen und Diensten haben und unbefugter Zugang unterbunden wird“.

Dazu definiert sie fünf Maßnahmen. Die erste lautet:

„Ein formaler Prozess für die Registrierung und Deregistrierung von Benutzern ist umgesetzt, um die Zuordnung von Zugangsrechten zu ermöglichen.“

Für Hersteller mit eigener Software-Entwicklung ist besonders der Anhang A.14 interessant, der u.a. Anforderungen an die „Sicherheit in Entwicklungs- und Unterstützungsprozessen“ fordert.

Der Anhang A fordert viele weitere, nachvollziehbare Maßnahmen:

  • Der Zugriff auf Informationen und Informationstechnik muss geregelt sein.
  • Daten müssen gesichert werden.
  • Die Sicherheit von Netzwerken muss durch geeignete Trennungen erhöht werden.
  • Elektronisch übertragene Daten müssen geschätzt werden.
  • Es muss geregelt sein, wie kryptographische Schlüssel verwaltet werden.

Hinweise, wie man diese Anforderungen konkret erfüllen kann, liefert nicht die ISO 27001, sondern die ISO 27002. Dazu mehr im Kapitel 4 dieses Artikels.

Anforderungen im „Hauptteil“

Ob und in welchem Detailgrad die Organisationen die Anforderungen des Anhangs A umsetzen, hängt von ihrem jeweiligen Schutzbedarf und ihrer „Politik“ ab.

Die ISO 27001 fordert daher, die Risiken systematisch zu identifizieren und anhand vorher festgelegter Risikoakzeptanzkriterien zu bewerten. Abhängig von dieser Bewertung sind die Hersteller verpflichtet, die Maßnahmen festzulegen und umzusetzen sowie deren Wirksamkeit regelmäßig zu überwachen (s. Abb. 4).

Zeichnung Zyklus zeigt: Die ISO 27001 fordert einen fortlaufenden Prozess zu Analyse, Bewertung und Beherrschung von Risiken für die IT-Sicherheit.
Abb. 4: Die ISO 27001 fordert einen fortlaufenden Prozess zur Analyse, Bewertung und Beherrschung von Risiken für die IT-Sicherheit.

Das Risikomanagement bezieht weniger auf die Safety wie die ISO 14971, sondern auf die Werte / Assets und deren Verlust, zu diesen zählen neben den Informationen und die Informationstechnik auch Prozesse im Unternehmen.

c) Vergleich mit dem BSI 200-1

Alternativ zur Zertifizierung nach ISO 27001 durch eine Zertifizierstelle können Hersteller eine Zertifizierung beim BSI nach BSI 200-1 IT Grundschutz anstreben. Die folgende Tabelle vergleicht beide Standards.

ISO/IEC 27001IT-Grundschutz nach BSI Standard 200-2
Forderungen eher allgemein und daher flexibel für das Unternehmen interpretierbarUmfangreiche Forderungen, die sehr detailliert beschrieben sind und den Unternehmen wenig Spielraum lassen
32 Seiten verpflichtend, ca. 250 Seiten optional180 Seiten IT Grundschutz-Methodik über 4000 Seiten inkl. Grundschutzkataloge
Anzahl der erforderlichen Maßnahmen kann flexibel festgelegt werdenMehr als 1000 Maßnahmen werden erwartet.
Allgemeine VorgabenKonkrete Vorgaben und Maßnahmen
Forderungen eher allgemein und daher flexibel für das Unternehmen interpretierbarUmfangreiche Forderungen, die sehr detailliert beschrieben sind und den Unternehmen wenig Spielraum lassen
Vollständige Risikoanalyse erforderlichDer Umfang der Risikoanalyse ist abhängig von den Ergebnissen der Schutzbedarfsanalyse
Vergleichsweise hoher Aufwand für Einführung und ZertifizierungVergleichsweise hoher Aufwand für Einführung und Zertifizierung
Internationale AnerkennungEnthält nationale Besonderheiten und ist international wenig bekannt
Eher für die WirtschaftsunternehmenEher für Behörden
Eher für kleine und mittlere UnternehmenEher für größere Organisationen geeignet
ISO 27001 und BSI 200-2 / IT Grundschutz – was eignet sich für wen? (Quelle)

3. Wie man ein ISO 27001-konformes ISMS einführt

Kein zweites Managementsystem einführen

MDR und IVDR verpflichten alle Medizinproduktehersteller zu einem Qualitätsmanagementsystem (QMS), meist sogar zu einem (nach ISO 13485) zertifizierten. Daher sollten die Hersteller kein zweites Managementsystem etablieren, sondern ein integriertes Managementsystem, das beide Ziele (Qualität, IT-Sicherheit) adressiert.

Schritt 1: Ziele und Anwendungsbereich festlegen

Organisationen sollten Klarheit darüber haben, welche Ziele sie erreichen wollen:

  • Regulatorische Anforderungen erfüllen, regulatorischen Ärger vermeiden
  • Anforderungen von Kunden erfüllen
  • Zertifizierung erreichen
  • (informationellen) Unternehmenswerte identifizieren
  • Schutz dieser Werte d.h. die Sicherheit für die Informationen und Informationstechnik der eigenen Organisation erhöhen
  • Sicherheit der eigenen Produkte erhöhen
  • Marketing-wirksamer kommunizieren können (z.B. mit Zertifikat)
  • Verständnis über den Stand der eigenen Organisation bezüglich IT-Sicherheit erlangen
  • Chaos in der eigenen Organisation reduzieren

Bei diesen Überlegungen sollten die Firmen auch Klarheit darüber erlangen,

  • welche Informationen und welche Informationstechnik sie schützen müssen und
  • welche finanziellen, juristischen und anderen Folgen und damit Risiken bestehen, wenn dieser Schutz nicht in ausreichendem Maß gegeben ist.

Als weiteres Ergebnis dieser ersten Analyse sollte eine Organisation den Anwendungsbereich eines künftigen ITSMs festlegen. Dies betrifft beispielsweise:

  • Standorte
  • Organisationseinheiten
  • Informationen, Daten
  • Infrastrukturen, Informationstechnik
  • Eigene Produkte

Schritt 2: Gap-Analyse durchführen

Mit diesem Verständnis kann es nun gelingen, eine Gap-Analyse durchzuführen, d.h. eine Abschätzung zu erhalten, welche Vorgaben der ISO 27001 bereits ganz, teilweise oder noch gar nicht umgesetzt sind.

Meist nutzen die Firmen oder unterstützenden Dienstleister dazu den Anhang A oder eigene Checklisten.

Schritt 3: Maßnahmen festlegen und umsetzen

Basierend auf diesen Ergebnissen geht es nun daran, geeignete Maßnahmen festzulegen. Typische Maßnahmen sind:

  • Bestehende Verfahrens- und Arbeitsanweisungen ergänzen, z.B.
    • zum internen Audit,
    • zum Onboarding neuer Mitarbeitenden oder
    • zur Software-Entwicklung
  • Fehlende Verfahrens- und Arbeitsanweisungen verfassen, z.B.:
    • Kommunikation von Sicherheitsvorfällen
    • Zugangskontrolle zu Systemen und Räumen
    • Entsorgung von Datenträgern
    • Verwendung von Passwörtern
  • Organisationsstruktur anpassen, z.B.:
    • Neue Rollen schaffen oder bestehende Rollen anpassen
    • Verantwortlichkeiten neu oder anders regeln, z.B. für die Überwachung von Systemen
    • Personen einstellen und Personal fortbilden
  • Technische Strukturen verbessern, z.B.:
    • Neue Hardware oder Software kaufen
    • Bestehende Systeme neu konfigurieren
    • Netzwerke trennen
    • Überwachungssysteme implementieren

Dieser Schritt erfordert ein interdisziplinäres Team, das explizit nicht nur IT umfasst. Die Umsetzung dieses Schrittes nimmt je nach Größe der identifizierten Gaps zwischen 3-12 Monaten in Anspruch.

Schritt 4: Internes Audit und Managementbewertung durchführen

Regelmäßig sollten sich die Firmen durch interne Audits vom Fortschritt und der Wirksamkeit der Maßnahmen überzeugen. Die von der Norm geforderten internen Audits sind dazu ein wirksames Instrument.

Zudem ist das Management verpflichtet, sich regelmäßig (mindestens jährlich) von der Wirksamkeit des gesamten Informationssicherheitsmanagementsystems zu überzeugen.

Beides, die internen Audits und die Managementbewertung, sind zwingende Voraussetzungen für den nächsten Schritt, die Zertifizierung.

Schritt 5: Zertifizierung beantragen und durchführen

Organisationen sollten darauf achten, dass sie nur akkreditierte Zertifizierungsorganisationen um Angebote bitten. Meist sind diese etwas günstiger und die Verfügbarkeit der Zertifizierer etwas besser als bei den Benannten Stellen. Allerdings sind einige Benannte Stellen auch für die ISO 27001 akkreditiert. Ein kombiniertes Audit kann zu Einspareffekten führen.

Der Ablauf der Zertifizierungsaudits gleicht etwa den QM-Audits, auch was die Dauer betrifft.

Zusammenfassung

Der Weg zum zertifizierten ISMS ist mit dem Weg zum zertifizierten QMS vergleichbar. Bei Medizinprodukteherstellern gibt es jedoch meist bereits ein QMS. Damit existiert ein höheres Verständnis für solche Managementsysteme.

Viele Prozesse wie für die Dokumentenlenkung, die Managementbewertung, die Korrektur- und Vorbeugemaßnahmen bestehen bereits.

Daher sind die Gap-Analyse und der Anhang A wichtige Hilfsmittel, um die Einführung des eigenen ISMS zu planen.

4. Was man sonst über die ISO-27000-Familie wissen sollte

a) Die ISO 27002 hilft bei der Umsetzung der ISO 27001

Die ISO 27002 dient als Leitfaden bei der Umsetzung der ISO 27001. Im Gegensatz zur ISO 27001 können sich Organisationen nicht nach ISO 27002 zertifizieren lassen.

Die ISO 27002 gibt konkretere Hinweise. Beispielsweise fordert die ISO 27001 im Anhang A 12.3.1:

Sicherheitskopien von Information, Software und Systemabbildern werden entsprechend einer vereinbarten Sicherungsrichtlinie angefertigt und regelmäßig getestet.

Die ISO 27002 gibt Hinweise dazu. So sollten Backups

  • an einem Ort mit ausreichender Entfernung ausgelagert,
  • von physischen Einflüssen geschützt und
  • verschlüsselt werden sowie
  • das gesamte System und nicht nur dessen Daten enthalten.

b) Die ISO 27799 ist spezifisch für das Gesundheitswesen

Die ISO 27799 gilt spezifisch für das Gesundheitssystem. Diese Norm

  • ergänzt einige Anforderungen, z.B., dass die Verschlüsselung beim Backup von Gesundheitsdaten erfolgen sollte,
  • verschärft bestehende Anforderungen, ersetzt z.B. „soll“ durch „muss“ und
  • gibt spezifische Erläuterungen und Anleitungen.

Eine Zertifizierung nach ISO 27799 ist ebenfalls nicht möglich.

6. Zusammenfassung und Fazit

a) IT-Sicherheit betrifft Hersteller und Betreiber

Organisationen, die Gesundheitsdaten verarbeiten, benötigen ein Informationssicherheitsmanagementsystem, um die regulatorisch geforderten technischen und organisatorischen Maßnahmen nachzuweisen. Zu diesen Herstellern zählen viele DIGA-Anbieter.

Medizinproduktehersteller müssen die IT-Sicherheit ihrer Produkte gewährleisten. Das bedingt wiederum, dass diese Produkte (insbesondere deren Software und damit die Entwicklungs- und Produktionsumgebung) ebenfalls sicher sind. Ein ISMS hilft dabei, genau diesen Schutz zu gewährleisten.

b) Die Normenfamilie ISO 27000 ist hilfreich

Die Normenfamilie ISO 27000 stellt nachvollziehbare und meist gut verständliche Anforderungen an ein Informationssicherheitsmanagementsystem (insbesondere ISO 27001) und gibt konkrete Hinweise zur Umsetzung (insbesondere die ISO 27001).

c) Hersteller müssen Voraussetzungen erfüllen

Ohne ein klares Management Commitment wird es eine Organisation auf Dauer nicht schaffen, ein ISMS aufzubauen und erfolgreich zu betreiben. Der Fisch stinkt auch hier vom Kopf.

Entscheidend für den Erfolg sind ebenso

  • die Investition in die Kompetenz der Mitarbeitenden,
  • deren Bewusstsein für die Bedeutung der IT-Sicherheit und
  • eine reibungslose Kommunikation innerhalb des Teams sowie mit externen Stellen.

d) ISMS darf nur als ein nie endender Weg verstanden werden

Die Anforderungen der Norm zu erfüllen, bedeutet viel Arbeit. Firmen sollten sich bewusst sein, dass sie sich auf einen Weg machen, der nie endet und kontinuierliche Aufwände mit sich bringt, aber die IT-Sicherheit erhöht.

Aber auch dieser Berg an Arbeit lässt sich in iterativen und inkrementellen Schritten bewältigen. Ein wichtiger Schritt ist die Gap-Analyse, die eine Übersicht über die Art und den Umfang dieser Arbeit verschafft.

Ein Informationssicherheitsmanagementsystem gemäß ISO 27001 oder anderer Leitfäden einzuführen, ist keine Rakentenwissenschaft. Diesen Weg sind Tausende Firmen bereits erfolgreich gegangen. Insbesondere Hersteller und Betreiber von Medizinprodukten und von IT-Systemen, die Gesundheitsdaten verarbeiten, sollten oder müssen sogar diesen Weg beschreiten.


Das Johner Institut unterstützt Medizinprodukteherstellern dabei, QM-Systeme und ISMS konform ISO 13485 und ISO 27001 einzuführen und damit die Voraussetzungen zu schaffen z.B. für eine Zertifizierung und eine Aufnahme der Produkte ins DIGA-Verzeichnis. Nehmen Sie gerne Kontakt auf.

Wie hilfreich war dieser Beitrag?

Bitte bewerten Sie:

Durchschnittliche Bewertung 4 / 5. Anzahl Bewertungen: 3

Geben Sie die erste Bewertung!


Kategorien: Health IT & Medizintechnik, Regulatory Affairs, Software & IEC 62304
Tags:

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.