{"id":3788769,"date":"2024-05-23T17:17:46","date_gmt":"2024-05-23T15:17:46","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=3788769"},"modified":"2025-10-06T19:43:54","modified_gmt":"2025-10-06T17:43:54","slug":"iso-27001","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","title":{"rendered":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?"},"content":{"rendered":"\n<p>Die <strong>ISO 27001<\/strong> und die <strong>Informationssicherheitsmanagementsysteme (ISMS)<\/strong> werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Die Regularien geben dazu Anlass. Dazu z\u00e4hlt u. a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller ger\u00fcckt hat.<\/p>\n\n\n\n<p>Hersteller m\u00fcssen die regulatorischen Anforderungen erf\u00fcllen, um \u00c4rger mit Beh\u00f6rden und Benannten Stellen zu vermeiden und um Patienten nicht zu gef\u00e4hrden. Sie sollten aber keine unn\u00f6tigen Aufw\u00e4nde betreiben. Daher sollten sie verstehen,<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ob sie das Thema ISMS und damit die ISO 27001 \u00fcberhaupt betrifft,<\/li>\n\n\n\n<li>welche Anforderungen die ISO 27001 an sie stellt und<\/li>\n\n\n\n<li>wie sie ggf. ein solches ISMS einf\u00fchren k\u00f6nnen (insbesondere, wenn es bereits ein QMS gibt).<\/li>\n<\/ul>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. Wen die ISO 27001 betrifft<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Regulatorischer Rahmen<\/h3>\n\n\n\n<p>Organisationen k\u00f6nnen verschiedene Rollen einnehmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inverkehrbringer von Medizinprodukten<\/li>\n\n\n\n<li>Betreiber von Medizinprodukten<\/li>\n\n\n\n<li>Dienstleister f\u00fcr Inverkehrbringer oder Betreiber<\/li>\n<\/ul>\n\n\n\n<p>Die regulatorischen Anforderungen richten sich v. a. an die Inverkehrbringer und Betreiber:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td> <p><strong>Rolle<\/strong><\/p> <\/td><td> <p><strong>MDR, IVDR<\/strong><\/p> <\/td><td> <p><strong>DSGVO<\/strong><\/p> <\/td><td><p><strong>DiGAV<\/strong><\/p><\/td><\/tr><tr><td>\n<p>Inverkehrbringer<\/p>\n<\/td><td><p><strong>Ja<\/strong> (u. a. Herstellung, \u201eZulassung\u201c, Post-Market Surveillance)<\/p><\/td><td>\n<p><strong>Nur bedingt<\/strong> (wie jede andere Firma)<\/p>\n<\/td><td><p>Ja, technische Anforderungen an die DiGA, die in den Spezifikationen ber\u00fccksichtigt werden m\u00fcssen<\/p><\/td><\/tr><tr><td>\n<p>Betreiber<\/p>\n<\/td><td><p><strong>Nur bedingt<\/strong> (siehe <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/mdr-ivdr-gesundheitseinrichtungen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel dazu<\/a>)<\/p><\/td><td><p><strong>Ja<\/strong> (u. a. Schutz von Gesundheitsdaten)<\/p><\/td><td><p>Ja, technische und organisatorische Ma\u00dfnahmen zum Schutz von Gesundheitsdaten<\/p><\/td><\/tr><tr><td>\n<p>Dienstleister<\/p>\n<\/td><td><p><strong>Nur bedingt <\/strong>(z. B. \u00fcber <a href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/qualitaetssicherungsvereinbarung-qsv\/\" target=\"_blank\" rel=\"noreferrer noopener\">QSVs<\/a>)<\/p><\/td><td><p><strong>Nur bedingt<\/strong> (wie jede andere Firma; Ausnahme: Auftragsdatenverarbeiter)<\/p><\/td><td><p>Ja. Cloud Server, Plattformen, Auftragsdatenverarbeiter m\u00fcssen ihre Konformit\u00e4t mit der ISO 27001 oder BSI Standard 200-2 nachweisen, um von DiGAs genutzt werden zu k\u00f6nnen.<\/p><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Die <a href=\"https:\/\/www.gesetze-im-internet.de\/digav\/BJNR076800020.html\">Digitale-Gesundheitsanwendungen-Verordnung (DiGAV)<\/a> betrachtet die Firmen sowohl als Betreiber als auch als Hersteller.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Anwendbarkeit der ISO 27001 f\u00fcr Betreiber<\/h3>\n\n\n\n<p>Die <strong>Betreiber<\/strong> m\u00fcssen die Gesundheitsdaten durch geeignete technische und organisatorische Ma\u00dfnahmen gew\u00e4hrleisten. Das fordert u. a. die <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\" target=\"_blank\" rel=\"noreferrer noopener\">Datenschutzgrundverordnung DSGVO<\/a>. Dazu ist in der Regel ein Informationssicherheitsmanagementsystem (ISMS) erforderlich.<\/p>\n\n\n\n<p>Um dessen Wirksamkeit nachzuweisen, sollten die Firmen den Vorgaben einschl\u00e4giger Normen wie der ISO 27001 oder den BSI-Standards (u. a. <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-2-IT-Grundschutz-Methodik\/bsi-standard-200-2-it-grundschutz-methodik_node.html\">BSI 200-2<\/a>) folgen.<\/p>\n\n\n\n<p>Einige Regularien wie die DiGAV schreiben sogar eine <strong>Zertifizierung<\/strong> nach einem dieser Standards vor.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Anwendbarkeit der ISO 27001 f\u00fcr Hersteller<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">F\u00fcr die Entwicklung sicherer Medizinprodukte gelten andere Normen<\/h4>\n\n\n\n<p>Die <strong>Hersteller<\/strong> m\u00fcssen die IT-Sicherheit ihrer Produkte gew\u00e4hrleisten. Das setzt einen \u201eSecure Development Lifecycle\u201c voraus. Dieser beinhaltet Vorgaben zur Entwicklung, zum Testen und zur \u00dcberwachung von Produkten, die Software enthalten.<\/p>\n\n\n\n<p>Hierzu gibt es Normen und Leitf\u00e4den, z. B. die Normenfamilien <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-62443\/\" target=\"_blank\" rel=\"noreferrer noopener\">IEC 62443<\/a> und <a href=\"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/iso-iec-15408\/\" target=\"_blank\" rel=\"noreferrer noopener\">ISO 15408<\/a> sowie den Leitfaden der Benannten Stellen, der auf dem <a href=\"https:\/\/github.com\/johner-institut\/it-security-guideline\/\" target=\"_blank\" rel=\"noreferrer noopener\">Leitfaden des Johner Instituts<\/a> aufbaut.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Sie finden hier eine <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/#section_scroll2\">vollst\u00e4ndigere Liste der regulatorischen Anforderungen an die IT-Sicherheit bei Medizinprodukten und im Gesundheitswesen<\/a>.<\/p>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">F\u00fcr den Schutz der eigenen IT und Software ist die ISO 27001 dienlich<\/h4>\n\n\n\n<p>Eine direkte Forderung nach einem ISMS gibt es nicht. Allerdings m\u00fcssen die Hersteller sicherstellen, dass die Medizinproduktesoftware bereits zum Zeitpunkt der Auslieferung frei von Schad-Code ist. Voraussetzung daf\u00fcr ist u. a., dass Hersteller ihre eigene Informationstechnik sch\u00fctzen. Dazu ist ein ISMS dienlich.<\/p>\n\n\n\n<p><strong>Daher ist die ISO 27001 f\u00fcr Organisationen, die \u201enur\u201c in der Rolle eines Herstellers agieren, ein dienlicher Leitfaden, aber keine zwingende Notwendigkeit.<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">d) Anwendbarkeit f\u00fcr Dienstleister<\/h3>\n\n\n\n<p>In ihrer Rolle als Dienstleister m\u00fcssen Firmen meist nur die Vorgaben erf\u00fcllen, die f\u00fcr alle Firmen bzw. Organisationen gelten. Allerdings verpflichten sie regelm\u00e4\u00dfig deren Kunden (die Inverkehrbringer\/Hersteller und Betreiber), weitere Anforderungen zu erf\u00fcllen.<\/p>\n\n\n\n<p>Falls der Dienstleister ein <strong>Auftragsdatenverarbeiter<\/strong> ist, gelten f\u00fcr ihn vergleichbare Anforderungen wie f\u00fcr den Betreiber. Das bedingt ein ISMS, das z. B. nach ISO 27001 zertifiziert ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">e) Zusammenfassung<\/h3>\n\n\n\n<p>Abh\u00e4ngig von ihrer Rolle m\u00fcssen Organisationen unterschiedliche regulatorische Anforderungen erf\u00fcllen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"968\" height=\"544\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\" alt=\"Ontologie, das die Abh\u00e4ngigkeiten zwischen Regularien, Objekten, Ma\u00dfnahmen und Normen beschreibt. Die ISO 27001 ist f\u00fcr insbesondere f\u00fcr Medizinproduktehersteller relevant, die auch als Betreiber agieren und den Datenschutz von Gesundheitsdaten gew\u00e4hrleisten m\u00fcssen. Hersteller m\u00fcssen jedoch auch die eigenen Informationen und Informationstechnik sch\u00fctzen, um zu vermeiden, dass sie unsichere Produkte auf den Markt bringen.\" class=\"wp-image-3788789\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg 968w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-300x169.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-768x432.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-200x112.jpg 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-400x225.jpg 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-600x337.jpg 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO-800x450.jpg 800w\" sizes=\"auto, (max-width: 968px) 100vw, 968px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Die ISO 27001 ist insbesondere f\u00fcr Medizinproduktehersteller relevant, die auch als Betreiber agieren und den Datenschutz von Gesundheitsdaten gew\u00e4hrleisten m\u00fcssen. Hersteller m\u00fcssen jedoch auch die eigenen Informationen sowie die eigene Informationstechnik sch\u00fctzen, um zu vermeiden, dass sie unsichere Produkte auf den Markt bringen.<\/figcaption><\/figure>\n\n\n\n<h2 aria-label=\"2. Was die ISO 27001 fordert\">2. Was die ISO 27001 fordert (f\u00fcr eilige Leser)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Es gibt Gemeinsamkeiten mit einem QM-System konform ISO 13485<\/h3>\n\n\n\n<p>Die ISO 27001 beschreibt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), so wie die ISO 13485 die Anforderungen an ein Qualit\u00e4tsmanagementsystem beschreibt. Daher finden sich in der ISO 27001 \u00e4hnliche Elemente wie in der ISO 13485, z. B.:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Verantwortung der F\u00fchrung<\/strong> (Kapitel 5), u. a. mit der Pflicht, eine <strong>Informationssicherheitspolitik<\/strong> und <strong>Informationssicherheitsziele<\/strong> festzulegen<\/li>\n\n\n\n<li>Forderung, die notwendigen <strong>Ressourcen<\/strong> (insbesondere kompetentes Personal) bereitzustellen (Kapitel 7.1 f.) und <strong>Informationen und Dokumentation zu lenken<\/strong> (Kapitel 7.5.3 ff.)<\/li>\n\n\n\n<li>Forderung nach <strong>\u00dcberwachung, Messung, Analyse und Bewertung<\/strong><em> <\/em>(Kapitel 9.1 f.), nach <strong>internen Audits <\/strong>(Kapitel 9.2 f.) und nach einer <strong>Managementbewertung<\/strong> (Kapitel 9.3 f.)<\/li>\n\n\n\n<li>Verpflichtung zur <strong>kontinuierlichen Verbesserung<\/strong> (Kapitel 10) inklusive <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/corrective-actions-corrections-und-preventive-actions\/\" target=\"_blank\" rel=\"noreferrer noopener\">Korrektur- und Vorbeugema\u00dfnahmen (CAPA)<\/a><\/li>\n\n\n\n<li><strong>Risikomanagementprozess<\/strong> (u. a. Kapitel 6). Allerdings werden hier die Risiken anders definiert.<\/li>\n\n\n\n<li>Einf\u00fchrung eines<strong> \u00c4nderungsmanagementverfahren <\/strong>(Anhang 8.32)<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"164\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-300x164.png\" alt=\"Mindmap mit Inhaltsverzeichnis der ISO 27001: Abb. 2: Die ISO 27001 umfasst zehn Kapitel sowie einen normativen Anhang. Einige Kapitel weisen \u00c4hnlichkeiten mit der ISO 13485 auch, andere sind spezifisch f\u00fcr die IT-Sicherheit.\" class=\"wp-image-5378762\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-300x164.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-1024x561.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-768x421.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-1536x842.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/ISOIEC-270012023-2048x1123.png 2048w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Die ISO 27001 umfasst zehn Kapitel sowie einen normativen Anhang. Einige Kapitel weisen \u00c4hnlichkeiten mit der ISO 13485 auf, andere sind spezifisch f\u00fcr die IT-Sicherheit (zum Vergr\u00f6\u00dfern klicken).<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">b) Es gibt Anforderungen spezifisch f\u00fcr die Informationssicherheit<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Anforderungen im Anhang A<\/h4>\n\n\n\n<p>Die ISO 27001 beschreibt im normativen Anhang A konkrete Anforderungen, Ziele und Ma\u00dfnahmen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A-.png\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"255\" height=\"300\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--255x300.png\" alt=\"Mindmap, der die Struktur des Anhangs A der ISO 27001 zeigt\" class=\"wp-image-5378763\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--255x300.png 255w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--871x1024.png 871w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--768x903.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--1307x1536.png 1307w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Anhang-A--1742x2048.png 1742w\" sizes=\"auto, (max-width: 255px) 100vw, 255px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 3: Der Anhang A der ISO 27001 nennt konkrete Anforderungen, Ziele und Ma\u00dfnahmen (zum Vergr\u00f6\u00dfern klicken).<\/figcaption><\/figure>\n\n\n\n<p>Beispielsweise fordert die Norm im Anhang A.8.3 eine Informationszugangsbeschr\u00e4nkung. Ziel ist es sicherzustellen, dass <em>\u201enur befugte Personen Zugang zu Informationen und den damit verbundenen Werten haben und unbefugter Zugang unterbunden wird<\/em>&#8222;. Dazu gibt die ISO 27002 umfangreiche Handlungsempfehlungen.<\/p>\n\n\n\n<p>F\u00fcr Hersteller mit eigener Software-Entwicklung ist besonders der Anhang 8.25 interessant, der u. a. Anforderungen an den <em>\u201eLebenszyklus einer sicheren Entwicklung\u201c<\/em> fordert.<\/p>\n\n\n\n<p>Anhang A fordert viele weitere, nachvollziehbare Ma\u00dfnahmen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Zugriff auf Informationen und Informationstechnik muss geregelt sein.<\/li>\n\n\n\n<li>Daten m\u00fcssen gesichert werden.<\/li>\n\n\n\n<li>Die Sicherheit von Netzwerken muss durch geeignete Trennungen erh\u00f6ht werden.<\/li>\n\n\n\n<li>Elektronisch \u00fcbertragene Daten m\u00fcssen gesch\u00e4tzt werden.<\/li>\n\n\n\n<li>Es muss geregelt sein, wie kryptografische Schl\u00fcssel verwaltet werden.<\/li>\n<\/ul>\n\n\n\n<p>Detaillierte Hinweise, wie man diese Anforderungen konkret erf\u00fcllen kann, liefert nicht die ISO 27001, sondern die ISO 27002. Dazu mehr im Kapitel 4 dieses Artikels.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Anforderungen im \u201eHauptteil\u201c<\/h4>\n\n\n\n<p>Ob und in welchem Detailgrad die Organisationen die Anforderungen des Anhangs A umsetzen, h\u00e4ngt von ihrem jeweiligen Schutzbedarf und ihrer Informationssicherheitspolitik ab.<\/p>\n\n\n\n<p>Die ISO 27001 fordert daher, die Risiken systematisch zu identifizieren und anhand vorher festgelegter Risikoakzeptanzkriterien zu bewerten. Abh\u00e4ngig von dieser Bewertung sind die Hersteller verpflichtet, Ma\u00dfnahmen festzulegen und umzusetzen sowie deren Wirksamkeit regelm\u00e4\u00dfig zu \u00fcberwachen (s. Abb. 4).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg\" data-rel=\"lightbox-image-3\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"640\" height=\"427\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg\" alt=\"Zeichnung Zyklus zeigt: Die ISO 27001 fordert einen fortlaufenden Prozess zu Analyse, Bewertung und Beherrschung von Risiken f\u00fcr die IT-Sicherheit.\" class=\"wp-image-5378764\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg 640w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update-300x200.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 4: Die ISO 27001 fordert einen fortlaufenden Prozess zur Analyse, Bewertung und Beherrschung von Risiken f\u00fcr die Informationssicherheit.<\/figcaption><\/figure>\n\n\n\n<p>Das&nbsp;Risikomanagement bezieht weniger auf die Produktsicherheit wie die ISO 14971, sondern auf die Werte \/ Assets und deren Verlust. Zu diesen z\u00e4hlen neben den Informationen und die Informationstechnik auch Prozesse im Unternehmen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Vergleich mit dem BSI 200-1<\/h3>\n\n\n\n<p id=\"anchor-section_scroll1\">Alternativ zur Zertifizierung nach ISO 27001 durch eine Zertifizierstelle k\u00f6nnen Hersteller eine&nbsp;Zertifizierung beim BSI nach BSI 200-1 IT Grundschutz anstreben. Die folgende Tabelle vergleicht beide Standards.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>ISO\/IEC 27001<\/strong><\/th><th><strong>IT-Grundschutz nach BSI Standard 200-2<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Forderungen eher allgemein und daher flexibel f\u00fcr das Unternehmen interpretierbar<\/td><td>Umfangreiche Forderungen, die sehr detailliert beschrieben sind und den Unternehmen wenig Spielraum lassen<\/td><\/tr><tr><td>7 verpflichtende Kapitel, 93 Kontrollma\u00dfnahmen<\/td><td>180 Seiten IT Grundschutz-Methodik, 858 Seiten Grundschutz Kompendium<\/td><\/tr><tr><td>Anzahl der erforderlichen Ma\u00dfnahmen kann flexibel festgelegt werden<\/td><td>Mehr als 1000 Ma\u00dfnahmen werden erwartet<\/td><\/tr><tr><td>Allgemeine Vorgaben<\/td><td>Konkrete Vorgaben und Ma\u00dfnahmen<\/td><\/tr><tr><td>Forderungen eher allgemein und daher flexibel f\u00fcr das Unternehmen interpretierbar<\/td><td>Umfangreiche Forderungen, die sehr detailliert beschrieben sind und dem Unternehmen wenig Spielraum lassen<\/td><\/tr><tr><td>Vollst\u00e4ndige Risikoanalyse erforderlich<\/td><td>Der Umfang der Risikoanalyse ist abh\u00e4ngig von den Ergebnissen der Schutzbedarfsanalyse<\/td><\/tr><tr><td>Vergleichsweise hoher Aufwand f\u00fcr Einf\u00fchrung und Zertifizierung<\/td><td>Vergleichsweise hoher Aufwand f\u00fcr Einf\u00fchrung und Zertifizierung<\/td><\/tr><tr><td>Internationale Anerkennung<\/td><td>Enth\u00e4lt nationale Besonderheiten und ist international kaum bekannt<\/td><\/tr><tr><td>Eher f\u00fcr Wirtschaftsunternehmen<\/td><td>Eher f\u00fcr Beh\u00f6rden<\/td><\/tr><tr><td>Eher f\u00fcr kleine und mittlere Unternehmen<\/td><td>Eher f\u00fcr gr\u00f6\u00dfere Organisationen geeignet<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">ISO 27001 und BSI 200-2 \/ IT Grundschutz &#8211; was eignet sich f\u00fcr wen? (Die Quelle ist leider nicht mehr erreichbar: it-sicherheit-fuer-den-mittelstand-besser-nach-iso-iec-27001-oder-it-grundschutz-zertifizieren)<\/figcaption><\/figure>\n\n\n\n<h2 aria-label=\"3. Wie man ein ISMS einf\u00fchrt\">3. Wie man ein ISO 27001-konformes ISMS einf\u00fchrt<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Kein zweites Managementsystem einf\u00fchren<\/h3>\n\n\n\n<p><a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medical-device-regulation-mdr-medizinprodukteverordnung\/\" target=\"_blank\" rel=\"noreferrer noopener\">MDR<\/a> und <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/ivdr-in-vitro-diagnostic-device-regulation\/\" target=\"_blank\" rel=\"noreferrer noopener\">IVDR<\/a> verpflichten alle Medizinproduktehersteller zu einem <a href=\"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/\" target=\"_blank\" rel=\"noreferrer noopener\">Qualit\u00e4tsmanagementsystem (QMS)<\/a>, meist sogar zu einem (nach ISO 13485) zertifizierten. Daher sollten die Hersteller kein zweites Managementsystem etablieren, sondern ein integriertes Managementsystem, das beide Ziele (Qualit\u00e4t, Informationssicherheit) adressiert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 1: Ziele und Anwendungsbereich festlegen<\/h3>\n\n\n\n<p>Organisationen sollten Klarheit dar\u00fcber haben, welche Ziele sie erreichen wollen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Regulatorische Anforderungen erf\u00fcllen, regulatorischen \u00c4rger vermeiden<\/li>\n\n\n\n<li>Anforderungen von Kunden erf\u00fcllen<\/li>\n\n\n\n<li>Zertifizierung erreichen<\/li>\n\n\n\n<li>(Informationelle) Unternehmenswerte identifizieren<\/li>\n\n\n\n<li>Schutz dieser Werte, d. h. die Sicherheit f\u00fcr die Informationen und Informationstechnik der eigenen Organisation erh\u00f6hen<\/li>\n\n\n\n<li>Sicherheit der eigenen Produkte erh\u00f6hen<\/li>\n\n\n\n<li>Marketing-wirksamer kommunizieren k\u00f6nnen (z. B. mit Zertifikat)<\/li>\n\n\n\n<li>Verst\u00e4ndnis \u00fcber den Stand der eigenen Organisation bez\u00fcglich Informationssicherheit erlangen<\/li>\n\n\n\n<li>Chaos in der eigenen Organisation reduzieren<\/li>\n<\/ul>\n\n\n\n<p>Bei diesen \u00dcberlegungen sollten die Firmen auch Klarheit dar\u00fcber erlangen,<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>welche Informationen und welche Informationstechnik sie sch\u00fctzen m\u00fcssen und<\/li>\n\n\n\n<li>welche finanziellen, juristischen und anderen Folgen und damit Risiken bestehen, wenn dieser Schutz nicht in ausreichendem Ma\u00df gegeben ist.<\/li>\n<\/ul>\n\n\n\n<p>Als weiteres Ergebnis dieser ersten Analyse sollte eine Organisation den Anwendungsbereich eines k\u00fcnftigen ISMS festlegen. Dies betrifft beispielsweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Standorte<\/li>\n\n\n\n<li>Organisationseinheiten<\/li>\n\n\n\n<li>Informationen, Daten<\/li>\n\n\n\n<li>Infrastrukturen, Informationstechnik<\/li>\n\n\n\n<li>Eigene Produkte<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 2: Gap-Analyse durchf\u00fchren<\/h3>\n\n\n\n<p>Mit diesem Verst\u00e4ndnis kann es nun gelingen, eine Gap-Analyse durchzuf\u00fchren, d. h. eine Absch\u00e4tzung zu erhalten, welche Vorgaben der ISO 27001 bereits ganz, teilweise oder noch gar nicht umgesetzt sind.<\/p>\n\n\n\n<p>Meist nutzen die Firmen oder unterst\u00fctzende Dienstleister dazu den Anhang A oder eigene Checklisten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 3: Ma\u00dfnahmen festlegen und umsetzen<\/h3>\n\n\n\n<p>Basierend auf diesen Ergebnissen geht es anschlie\u00dfend darum, geeignete Ma\u00dfnahmen festzulegen. Typische Ma\u00dfnahmen sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bestehende Verfahrens- und Arbeitsanweisungen erg\u00e4nzen<\/strong>, z. B.\n<ul class=\"wp-block-list\">\n<li>Zum internen Audit<\/li>\n\n\n\n<li>Zum Onboarding neuer Mitarbeitenden<\/li>\n\n\n\n<li>Zur Software-Entwicklung<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Fehlende Verfahrens- und Arbeitsanweisungen verfassen<\/strong>, z. B.\n<ul class=\"wp-block-list\">\n<li>Kommunikation von Sicherheitsvorf\u00e4llen<\/li>\n\n\n\n<li>Zugangskontrolle zu Systemen und R\u00e4umen<\/li>\n\n\n\n<li>Entsorgung von Datentr\u00e4gern<\/li>\n\n\n\n<li>Verwendung von Passw\u00f6rtern <\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Organisationsstruktur anpassen<\/strong>, z. B.:\n<ul class=\"wp-block-list\">\n<li>Neue Rollen schaffen oder bestehende Rollen anpassen<\/li>\n\n\n\n<li>Verantwortlichkeiten neu oder anders regeln, z. B. f\u00fcr die \u00dcberwachung von Systemen<\/li>\n\n\n\n<li>Personen einstellen und Personal fortbilden <\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Technische Strukturen verbessern<\/strong>, z. B.:\n<ul class=\"wp-block-list\">\n<li>Neue Hardware oder Software kaufen<\/li>\n\n\n\n<li>Bestehende Systeme neu konfigurieren<\/li>\n\n\n\n<li>Netzwerke trennen<\/li>\n\n\n\n<li>\u00dcberwachungssysteme implementieren <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Dieser Schritt erfordert ein interdisziplin\u00e4res Team, das explizit nicht nur IT umfasst. Die Umsetzung dieses Schritts nimmt je nach Gr\u00f6\u00dfe der identifizierten Gaps zwischen 3 und 12 Monaten in Anspruch.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 4: Internes Audit und Managementbewertung durchf\u00fchren<\/h3>\n\n\n\n<p>Regelm\u00e4\u00dfig sollten sich die Firmen durch interne Audits vom Fortschritt und der Wirksamkeit der Ma\u00dfnahmen \u00fcberzeugen. Die von der Norm geforderten <a href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/interne-audits-interner-auditor\/\" target=\"_blank\" rel=\"noreferrer noopener\">internen Audits<\/a> sind daf\u00fcr ein wirksames Instrument.<\/p>\n\n\n\n<p>Zudem ist das Management verpflichtet, sich regelm\u00e4\u00dfig (mindestens j\u00e4hrlich) von der Wirksamkeit des gesamten Informationssicherheitsmanagementsystems zu \u00fcberzeugen.<\/p>\n\n\n\n<p>Beides, die internen Audits und die Managementbewertung, sind zwingende Voraussetzungen f\u00fcr den n\u00e4chsten Schritt, die Zertifizierung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 5: Zertifizierung beantragen und durchf\u00fchren<\/h3>\n\n\n\n<p>Organisationen sollten darauf achten, dass sie nur <strong>akkreditierte<\/strong> Zertifizierungsorganisationen um Angebote bitten. Meist sind diese etwas g\u00fcnstiger, und die Verf\u00fcgbarkeit der Zertifizierer ist etwas besser als bei den <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/benannte-stellen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Benannten Stellen<\/a>. Allerdings sind einige Benannte Stellen auch f\u00fcr die ISO 27001 akkreditiert. Ein kombiniertes Audit kann zu Einspareffekten f\u00fchren.<\/p>\n\n\n\n<p>Der Ablauf der Zertifizierungsaudits gleicht etwa den QM-Audits, auch was die Dauer betrifft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Zusammenfassung<\/h3>\n\n\n\n<p>Der Weg zum zertifizierten ISMS ist mit dem Weg zum zertifizierten QMS vergleichbar. Bei Medizinprodukteherstellern gibt es jedoch meistens bereits ein QMS. Damit existiert ein h\u00f6heres Verst\u00e4ndnis f\u00fcr solche Managementsysteme.<\/p>\n\n\n\n<p>Viele Prozesse wie f\u00fcr die Dokumentenlenkung, die Managementbewertung, die Korrektur- und Vorbeugema\u00dfnahmen bestehen bereits.<\/p>\n\n\n\n<p>Daher sind die Gap-Analyse und der Anhang A wichtige Hilfsmittel, um die Einf\u00fchrung des eigenen ISMS zu planen.<\/p>\n\n\n\n<h2 aria-label=\"4. Die ISO 27000-Familie\">4. Was man sonst \u00fcber die ISO-27000-Familie wissen sollte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Die ISO 27002 hilft bei der Umsetzung der ISO 27001<\/h3>\n\n\n\n<p>Die <a href=\"https:\/\/de.wikipedia.org\/wiki\/ISO\/IEC_27002\">ISO 27002<\/a> dient als Leitfaden bei der Umsetzung der im Anhang A der ISO 27001geforderten Informationssicherheitsma\u00dfnahmen. Im Gegensatz zur ISO 27001 k\u00f6nnen sich Organisationen nicht nach ISO 27002 zertifizieren lassen.<\/p>\n\n\n\n<p>Die ISO 27002 gibt konkretere Hinweise. Beispielsweise fordert die ISO 27001 im Anhang A 8.13:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em><em>Sicherheitskopien von Information, Software und Systemen m\u00fcssen in \u00dcbereinstimmung mit den vereinbarten themenspezifischen Richtlinien f\u00fcr Datensicherungen aufbewahrt und regelm\u00e4\u00dfig gepr\u00fcft werden.<\/em><\/em><\/p>\n<\/blockquote>\n\n\n\n<p>Die ISO 27002 gibt Hinweise dazu. So sollten Backups<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>an einem Ort mit ausreichender Entfernung ausgelagert,<\/li>\n\n\n\n<li>von physischen Einfl\u00fcssen gesch\u00fctzt und<\/li>\n\n\n\n<li>verschl\u00fcsselt werden sowie<\/li>\n\n\n\n<li>das gesamte System und nicht nur dessen Daten enthalten.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Die ISO 27799 ist spezifisch f\u00fcr das Gesundheitswesen<\/h3>\n\n\n\n<p>Die ISO 27799 gilt spezifisch f\u00fcr das Gesundheitssystem. Diese Norm<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>erg\u00e4nzt einige Anforderungen, z. B., dass die Verschl\u00fcsselung beim Backup von Gesundheitsdaten erfolgen sollte,<\/li>\n\n\n\n<li>versch\u00e4rft bestehende Anforderungen, ersetzt z. B. \u201esoll\u201c durch \u201emuss\u201c, und<\/li>\n\n\n\n<li>gibt spezifische Erl\u00e4uterungen und Anleitungen.<\/li>\n<\/ul>\n\n\n\n<p>Eine Zertifizierung nach ISO 27799 ist ebenfalls nicht m\u00f6glich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Zusammenfassung und Fazit<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Informationssicherheit betrifft Hersteller und Betreiber<\/h3>\n\n\n\n<p>Organisationen, die Gesundheitsdaten verarbeiten, ben\u00f6tigen ein Informationssicherheitsmanagementsystem, um die regulatorisch geforderten technischen und organisatorischen Ma\u00dfnahmen nachzuweisen. Zu diesen Herstellern z\u00e4hlen viele DiGA-Anbieter.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-ji-banner-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-301020a0 wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--50);padding-right:var(--wp--preset--spacing--50);padding-bottom:var(--wp--preset--spacing--50);padding-left:var(--wp--preset--spacing--50)\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-content-justification-center is-layout-constrained wp-block-column-is-layout-constrained\" style=\"flex-basis:40%\">\n<p class=\"has-large-font-size\">\u00dcberlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:25%\">\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\"><img loading=\"lazy\" decoding=\"async\" width=\"32\" height=\"32\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/01\/JI_Icon-Pentesting_we.svg\" alt=\"\" class=\"wp-image-5367787\" style=\"width:150px;height:150px\"\/><\/a><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:35%\">\n<p>Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!<\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-is-layout-fc4fd283 wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button is-style-white-red\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/www.johner-institut.de\/produktpruefungen\/pruefung-der-it-sicherheit\">Weitere Infos finden Sie hier<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n<p>Medizinproduktehersteller m\u00fcssen die IT-Sicherheit ihrer Produkte gew\u00e4hrleisten. Das bedingt wiederum, dass diese Produkte (insbesondere deren Software und damit die Entwicklungs- und Produktionsumgebung) ebenfalls sicher sind. Ein ISMS hilft dabei, genau diesen Schutz zu gew\u00e4hrleisten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Die Normenfamilie ISO 27000 ist hilfreich<\/h3>\n\n\n\n<p>Die Normenfamilie ISO 27000 stellt nachvollziehbare und meist gut verst\u00e4ndliche Anforderungen an ein Informationssicherheitsmanagementsystem (insbesondere ISO 27001) und gibt konkrete Hinweise zur Umsetzung (insbesondere die ISO 27002 und ISO 27003).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Hersteller m\u00fcssen Voraussetzungen erf\u00fcllen<\/h3>\n\n\n\n<p>Ohne ein klares <strong>Management Commitment<\/strong> wird es eine Organisation auf Dauer nicht schaffen, ein ISMS aufzubauen und erfolgreich zu betreiben. Der Fisch stinkt auch hier vom Kopf.<\/p>\n\n\n\n<p>Entscheidend f\u00fcr den Erfolg sind ebenso<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>die Investition in die<strong> Kompetenz der Mitarbeitenden<\/strong>,<\/li>\n\n\n\n<li>deren <strong>Bewusstsein f\u00fcr die Bedeutung der Informationssicherheit<\/strong> und<\/li>\n\n\n\n<li>eine <strong>reibungslose Kommunikation<\/strong> innerhalb des Teams sowie mit externen Stellen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">d) ISMS darf nur als ein nie endender Weg verstanden werden<\/h3>\n\n\n\n<p>Die Anforderungen der Norm zu erf\u00fcllen, bedeutet viel Arbeit. Firmen sollten sich bewusst sein, dass sie sich auf einen Weg machen, der nie endet und <strong>kontinuierliche Aufw\u00e4nde<\/strong> mit sich bringt, aber die Informationssicherheit erh\u00f6ht.<\/p>\n\n\n\n<p>Aber auch dieser Berg an Arbeit l\u00e4sst sich in <strong>iterativen und inkrementellen Schritten<\/strong> bew\u00e4ltigen. Ein wichtiger Schritt ist die <strong>Gap-Analyse<\/strong>, die eine \u00dcbersicht \u00fcber die Art und den Umfang dieser Arbeit verschafft.<\/p>\n\n\n\n<p>Ein Informationssicherheitsmanagementsystem gem\u00e4\u00df ISO 27001 oder anderer Leitf\u00e4den einzuf\u00fchren, ist kein Hexenwerk. Diesen Weg sind tausende Firmen bereits erfolgreich gegangen. Gerade Hersteller und Betreiber von Medizinprodukten und von IT-Systemen, die Gesundheitsdaten verarbeiten, sollten oder m\u00fcssen sogar diesen Weg beschreiten.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Beachten Sie auch den Podcast zur ISO 27001!<\/span><\/div>\n<p>In dieser Episode verr\u00e4t der ISO 27001 Lead Auditor Dr. Andr\u00e9 Baumgart, was Informationssicherheitsmanagementsysteme und Qualit\u00e4tsmanagementsysteme gemeinsam haben, wie man bei der Einf\u00fchrung vorgehen sollte und wie hoch der Aufwand daf\u00fcr ist.<\/p>\n\n\n\n<p>Diese und weitere Podcast-Episoden finden Sie auch&nbsp;<a href=\"https:\/\/www.johner-institut.de\/podcast\/medical-device-insights\/\">hier<\/a>.<\/p>\n<\/div>\n\n\n\t\t\t<style type=\"text\/css\">#pp-podcast-9424 a, .pp-modal-window .modal-9424 a, .pp-modal-window .aux-modal-9424 a, #pp-podcast-9424 .ppjs__more { color: #dc1a22; } #pp-podcast-9424:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button *, #pp-podcast-9424:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, #pp-podcast-9424:not(.modern) .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus *, .pp-modal-window .modal-9424 .ppjs__audio .ppjs__button.ppjs__playpause-button button *, .pp-modal-window .modal-9424 .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, .pp-modal-window .modal-9424 .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus *, .pp-modal-window .aux-modal-9424 .pod-entry__play *, .pp-modal-window .aux-modal-9424 .pod-entry__play:hover * { color: #dc1a22 !important; } #pp-podcast-9424.postview .episode-list__load-more, .pp-modal-window .aux-modal-9424 .episode-list__load-more, #pp-podcast-9424:not(.modern) .ppjs__time-handle-content, .modal-9424 .ppjs__time-handle-content { border-color: #dc1a22 !important; } #pp-podcast-9424:not(.modern) .ppjs__audio-time-rail, #pp-podcast-9424.lv3 .pod-entry__play, #pp-podcast-9424.lv4 .pod-entry__play, #pp-podcast-9424.gv2 .pod-entry__play, #pp-podcast-9424.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button, #pp-podcast-9424.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover, #pp-podcast-9424.modern.wide-player .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus, .pp-modal-window .modal-9424 button.episode-list__load-more, .pp-modal-window .modal-9424 .ppjs__audio-time-rail, .pp-modal-window .modal-9424 button.pp-modal-close { background-color: #dc1a22 !important; } #pp-podcast-9424 .hasCover .ppjs__audio .ppjs__button.ppjs__playpause-button button { background-color: rgba(0, 0, 0, 0.5) !important; } .pp-modal-window .modal-9424 button.episode-list__load-more:hover, .pp-modal-window .modal-9424 button.episode-list__load-more:focus, .pp-modal-window .aux-modal-9424 button.episode-list__load-more:hover, .pp-modal-window .aux-modal-9424 button.episode-list__load-more:focus { background-color: rgba( 220,26,34, 0.7 ) !important; } #pp-podcast-9424 .ppjs__button.toggled-on, .pp-modal-window .modal-9424 .ppjs__button.toggled-on, #pp-podcast-9424.playerview .pod-entry.activeEpisode, .pp-modal-window .modal-9424.playerview .pod-entry.activeEpisode { background-color: rgba( 220,26,34, 0.1 ); } #pp-podcast-9424.postview .episode-list__load-more { background-color: transparent !important; } #pp-podcast-9424.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button *, #pp-podcast-9424.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button:hover *, #pp-podcast-9424.modern:not(.wide-player) .ppjs__audio .ppjs__button.ppjs__playpause-button button:focus * { color: #dc1a22 !important; } #pp-podcast-9424.modern:not(.wide-player) .ppjs__time-handle-content { border-color: #dc1a22 !important; } #pp-podcast-9424.modern:not(.wide-player) .ppjs__audio-time-rail { background-color: #dc1a22 !important; } #pp-podcast-9424, .modal-9424, .aux-modal-9424 { --pp-accent-color: #dc1a22; } #pp-podcast-9424 .ppjs__script-button { display: none; }<\/style>\n\t\t\t<div id=\"pp-podcast-9424\" class=\"pp-podcast single-episode has-header header-hidden playerview media-audio hide-download hide-content\"  data-teaser=\"\" data-elength=\"18\" data-eunit=\"\" data-ppsdata=\"{&quot;ppe-9424-1&quot;:{&quot;title&quot;:&quot;2020-08: ISO 27001 (nicht nur) f\\u00fcr Medizinproduktehersteller&quot;,&quot;author&quot;:&quot;Prof. Dr. Christian Johner, Dr. Andr\\u00e9 Baumgart&quot;,&quot;date&quot;:&quot;20. Oktober 2020&quot;,&quot;link&quot;:&quot;https:\\\/\\\/johner-institut.podigee.io\\\/8-iso-27001&quot;,&quot;src&quot;:&quot;https:\\\/\\\/audio.podigee-cdn.net\\\/305163-m-b5cb7056ac3ab57c72bed128b632abf7.mp3?source=feed&quot;,&quot;mediatype&quot;:&quot;audio&quot;,&quot;season&quot;:0,&quot;categories&quot;:[],&quot;duration&quot;:&quot;17:47&quot;,&quot;episodetype&quot;:&quot;full&quot;,&quot;timestamp&quot;:1603182286,&quot;key&quot;:&quot;069ed78378051fd62e483a8ff139f0f1&quot;},&quot;load_info&quot;:{&quot;loaded&quot;:1,&quot;displayed&quot;:1,&quot;offset&quot;:0,&quot;maxItems&quot;:1,&quot;src&quot;:&quot;5a329de0e539499bf1ed92d7abcc9adb&quot;,&quot;step&quot;:1,&quot;sortby&quot;:&quot;sort_date_desc&quot;,&quot;filterby&quot;:&quot;iso 27001&quot;,&quot;fixed&quot;:&quot;&quot;,&quot;args&quot;:{&quot;imgurl&quot;:&quot;https:\\\/\\\/images.podigee-cdn.net\\\/0x,sqvWI5fZv_m3DhwUGGW8fZRSSgFarfP0F8a2nNIFtktA=\\\/https:\\\/\\\/main.podigee-cdn.net\\\/uploads\\\/u17081\\\/b9425c6a-8ecc-48cf-888c-a2351bacd246.jpg&quot;,&quot;imgset&quot;:&quot;&quot;,&quot;display&quot;:&quot;&quot;,&quot;hddesc&quot;:1,&quot;hdfeat&quot;:1,&quot;oricov&quot;:&quot;https:\\\/\\\/images.podigee-cdn.net\\\/0x,sqvWI5fZv_m3DhwUGGW8fZRSSgFarfP0F8a2nNIFtktA=\\\/https:\\\/\\\/main.podigee-cdn.net\\\/uploads\\\/u17081\\\/b9425c6a-8ecc-48cf-888c-a2351bacd246.jpg&quot;,&quot;elength&quot;:18}},&quot;rdata&quot;:{&quot;permalink&quot;:&quot;https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-json\\\/wp\\\/v2\\\/posts\\\/3788769&quot;,&quot;fprint&quot;:&quot;5a329de0e539499bf1ed92d7abcc9adb&quot;,&quot;from&quot;:&quot;feedurl&quot;,&quot;elen&quot;:18,&quot;eunit&quot;:&quot;&quot;,&quot;teaser&quot;:&quot;&quot;,&quot;title&quot;:&quot;&quot;,&quot;autoplay&quot;:&quot;&quot;}}\"><div class=\"pp-podcast__wrapper\"><div class=\"pp-podcast__info pod-info\"><div class=\"pod-info__header pod-header\"><div class=\"pod-header__items pod-items\"><div class=\"pod-items__desc\"><p>Der Podcast &#8222;Medical Device Insights&#8220; des Johner Instituts wendet sich an Medizinproduktehersteller, Beh\u00f6rden und Benannte Stellen. <\/p>\n<p>Er liefert Praxistipps, um sichere und wirksame Medizinprodukte mit minimalem Aufwand zu entwickeln, zu pr\u00fcfen, zuzulassen und im Markt zu \u00fcberwachen. Damit hilft er Herstellern, Audits sicher zu bestehen und mit ihren Produkten im Markt erfolgreich zu sein.<\/p>\n<p>Mit diesem Podcast sind die H\u00f6rerinnen oder H\u00f6rer bestens informiert und diskutieren mit Beh\u00f6rden, Benannten Stellen und Herstellern auf Augenh\u00f6he.<\/p>\n<\/div><\/div><\/div><\/div><div class=\"pp-podcast__content pod-content\"><div class=\"pp-podcast__single\"><div class=\"pp-podcast__player\"><div class=\"pp-player-episode\"><audio id=\"pp-podcast-9424-player\" preload=\"none\" class=\"pp-podcast-episode\" style=\"width: 100%;\" controls=\"controls\"><source type=\"audio\/mpeg\" src=\"https:\/\/audio.podigee-cdn.net\/305163-m-b5cb7056ac3ab57c72bed128b632abf7.mp3?source=feed\" \/><\/audio><\/div><\/div><div class=\"pod-content__episode episode-single\"><button class=\"episode-single__close\" aria-expanded=\"false\" aria-label=\"Close Single Episode\"><span class=\"btn-icon-wrap\"><svg class=\"icon icon-pp-x\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-x\" xlink:href=\"#icon-pp-x\"><\/use><\/svg><\/span><\/button><div class=\"episode-single__wrapper\"><div class=\"episode-single__header\"><div class=\"episode-single__title\">2020-08: ISO 27001 (nicht nur) f\u00fcr Medizinproduktehersteller<\/div><div class=\"episode-single__author\"><span class=\"byname\">by<\/span><span class=\"single-author\">Prof. Dr. Christian Johner, Dr. Andr\u00e9 Baumgart<\/span><\/div><\/div><\/div><\/div><\/div><\/div><\/div><div class=\"pod-content__launcher pod-launch\"><button class=\"pod-launch__button pod-launch__info pod-button\" aria-expanded=\"false\"><span class=\"ppjs__offscreen\">Show Podcast Information<\/span><span class=\"btn-icon-wrap\"><svg class=\"icon icon-pp-podcast\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-podcast\" xlink:href=\"#icon-pp-podcast\"><\/use><\/svg><svg class=\"icon icon-pp-x\" aria-hidden=\"true\" role=\"img\" focusable=\"false\"><use href=\"#icon-pp-x\" xlink:href=\"#icon-pp-x\"><\/use><\/svg><\/span><\/button><\/div><\/div>\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Unterst\u00fctzung<\/span><\/div>\n<p>Das Johner Institut unterst\u00fctzt Medizinproduktehersteller dabei, QM-Systeme und ISMS konform ISO 13485 und ISO 27001 einzuf\u00fchren und damit die Voraussetzungen zu schaffen f\u00fcr z. B. eine Zertifizierung und eine Aufnahme der Produkte ins DiGA-Verzeichnis. Nehmen Sie gerne <a href=\"\/kontakt\/\">Kontakt<\/a> auf.<\/p>\n<\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><strong>\u00c4nderungshistorie<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2024-05-23: Artikel vollst\u00e4ndig \u00fcberarbeitet<\/li>\n\n\n\n<li>2020-10-20: Initiale Erstellung des Artikels<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Die Regularien geben dazu Anlass. Dazu z\u00e4hlt u. a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller ger\u00fcckt hat. Hersteller m\u00fcssen die regulatorischen Anforderungen erf\u00fcllen, um \u00c4rger mit Beh\u00f6rden und Benannten Stellen zu vermeiden und um Patienten&hellip;<\/p>\n","protected":false},"author":83,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"ISO 27001: IT-Sicherheitsmanagement f\u00fcr alle Medizinproduktehersteller? In 5 Schritten ein QMS (ISO 13485) erweitern.","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108,184],"tags":[1126,269],"ppma_author":[1246],"class_list":["post-3788769","post","type-post","status-publish","format-standard","hentry","category-regulatory-affairs","category-iec-62304-medizinische-software","tag-it-security","tag-medizinische-software","category-1108","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?<\/title>\n<meta name=\"description\" content=\"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?\" \/>\n<meta property=\"og:description\" content=\"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2024-05-23T15:17:46+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-06T17:43:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"968\" \/>\n\t<meta property=\"og:image:height\" content=\"544\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Katrin Schnetter\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Katrin Schnetter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"29\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\"},\"author\":{\"name\":\"Katrin Schnetter\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb\"},\"headline\":\"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?\",\"datePublished\":\"2024-05-23T15:17:46+00:00\",\"dateModified\":\"2025-10-06T17:43:54+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\"},\"wordCount\":2505,\"commentCount\":6,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\",\"keywords\":[\"IT Security\",\"Medizinische Software \/ Medical Device Software\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\",\"name\":\"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\",\"datePublished\":\"2024-05-23T15:17:46+00:00\",\"dateModified\":\"2025-10-06T17:43:54+00:00\",\"description\":\"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg\",\"width\":968,\"height\":544},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb\",\"name\":\"Katrin Schnetter\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png8164ad51c76cd33600cb77983b335d79\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png\",\"caption\":\"Katrin Schnetter\"},\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/katrinschnetter\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","description":"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","og_locale":"de_DE","og_type":"article","og_title":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","og_description":"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2024-05-23T15:17:46+00:00","article_modified_time":"2025-10-06T17:43:54+00:00","og_image":[{"width":968,"height":544,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg","type":"image\/jpeg"}],"author":"Katrin Schnetter","twitter_misc":{"Verfasst von":"Katrin Schnetter","Gesch\u00e4tzte Lesezeit":"29\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/"},"author":{"name":"Katrin Schnetter","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb"},"headline":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","datePublished":"2024-05-23T15:17:46+00:00","dateModified":"2025-10-06T17:43:54+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/"},"wordCount":2505,"commentCount":6,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg","keywords":["IT Security","Medizinische Software \/ Medical Device Software"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","name":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg","datePublished":"2024-05-23T15:17:46+00:00","dateModified":"2025-10-06T17:43:54+00:00","description":"Informationssicherheitsmanagementsysteme werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Welche Anforderungen Sie erf\u00fcllen m\u00fcssen, um \u00c4rger zu vermeiden.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/10\/ISO-27001-MDR-DSGVO.jpg","width":968,"height":544},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb","name":"Katrin Schnetter","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png8164ad51c76cd33600cb77983b335d79","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","caption":"Katrin Schnetter"},"url":"https:\/\/www.johner-institut.de\/blog\/author\/katrinschnetter\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":5379843,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","url_meta":{"origin":3788769,"position":0},"title":"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!","author":"Katrin Schnetter","date":"13. Januar 2026","format":false,"excerpt":"Die NIS-2 (Network and Information Security) Richtline ist eine europ\u00e4ische Richtlinie (Directive (EU) 2022\/2555), die innerhalb der EU die Mindeststandards f\u00fcr die Cybersecurity festlegt. Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel. Key take-aways Seit\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":3577833,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","url_meta":{"origin":3788769,"position":1},"title":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen","author":"Claudia Schmitt","date":"13. M\u00e4rz 2023","format":false,"excerpt":"Die Anforderungen an die Datensicherheit und den Datenschutz von DiGA (Digitalen Gesundheitsanwendungen) gehen weit \u00fcber den Fragenkatalog der DiGAV hinaus. Unz\u00e4hlige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen immer schwerer, den \u00dcberblick im regulatorischen Dschungel zu bewahren. Dabei sollten Hersteller m\u00f6glichst keine Anforderungen \u00fcbersehen. Andernfalls drohen Probleme\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":5381174,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","url_meta":{"origin":3788769,"position":2},"title":"C5-Testate auch f\u00fcr Medizinproduktehersteller?","author":"Christian Rosenzweig","date":"29. April 2025","format":false,"excerpt":"Die C5-Testate sind f\u00fcr Leistungserbringer und ggf. f\u00fcr Medizinproduktehersteller relevant. Denn das Anfang 2024 in Kraft getretene Digital-Gesetz (DigiG) definiert die Anforderungen an Cloud-Dienste im Gesundheitswesen neu. Dieser Artikel erkl\u00e4rt die wichtigsten Aspekte der C5-Zertifizierung bzw. C5-Testate f\u00fcr Medizinproduktehersteller und Leistungserbringer wie etwa Krankenh\u00e4user. 1. Grundlagen der C5-Zertifizierung \/ C5-Testate\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":714404,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/","url_meta":{"origin":3788769,"position":3},"title":"ISO 29147: Wie Hersteller IT-Schwachstellen offenlegen sollten","author":"Christian Rosenzweig","date":"13. M\u00e4rz 2023","format":false,"excerpt":"ISO 29147 \u2013 noch nie geh\u00f6rt? Dabei ist diese Norm gerade f\u00fcr Hersteller von Medizinprodukten sehr hilfreich: Sie sollten sich die ISO 29147 zunutze machen, auch um regulatorische Anforderungen zu erf\u00fcllen. Welche Anforderungen das sind\u00a0und wie Sie die ISO 29147 dabei einbeziehen k\u00f6nnen, lesen Sie in diesem Beitrag. 1. \u00dcber\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Prozess nach ISO 29147","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2017\/02\/ISO-29147.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5380672,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/iso-iec-42001\/","url_meta":{"origin":3788769,"position":4},"title":"ISO\/IEC 42001: KI-Managementsysteme","author":"Claudia Volk","date":"25. Februar 2025","format":false,"excerpt":"Die ISO\/IEC 42001 tr\u00e4gt den Titel \u201eInformation technology \u2013 Artificial intelligence \u2013 Management system\u201c. Erste Medizinproduktehersteller haben sich auf den Weg gemacht, sich nach dieser Norm zertifizieren zu lassen. Doch sind die Aufw\u00e4nde daf\u00fcr gerechtfertigt? Hilft die ISO\/IEC 42001 dabei, die Anforderungen des AI Act zu erf\u00fcllen? Antworten gibt dieser\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/02\/ISO-IEC-42001-2023.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":5371514,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/faq-qm-system\/","url_meta":{"origin":3788769,"position":5},"title":"Die h\u00e4ufigsten Fragen zum QM-System","author":"Prof. Dr. Christian Johner","date":"2. Februar 2024","format":false,"excerpt":"Diese FAQ geben Antworten auf die h\u00e4ufigsten Fragen, die Firmen wie Medizinproduktehersteller zu Qualit\u00e4tsmanagementsystemen (QM-Systemen) und zur ISO 13485 haben. Weiterf\u00fchrende Informationen Beachten Sie auch den \u00dcbersichtsartikel zu QM-Systemen und der ISO 13485. Er verlinkt auf viele weitere Artikel zu den einzelnen Aktivit\u00e4ten im Rahmen des Qualit\u00e4tsmanagements. Fehlt Ihnen die\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"FAQ: Die Antworten auf die h\u00e4ufigsten Fragen zum QM-System","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/FAQ-QM-System.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/FAQ-QM-System.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/FAQ-QM-System.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-fTDb","jetpack_sharing_enabled":true,"authors":[{"term_id":1246,"user_id":83,"is_guest":0,"slug":"katrinschnetter","display_name":"Katrin Schnetter","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3788769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/83"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=3788769"}],"version-history":[{"count":28,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3788769\/revisions"}],"predecessor-version":[{"id":5380092,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/3788769\/revisions\/5380092"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=3788769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=3788769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=3788769"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=3788769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}