skip to Main Content

IT-Governance, Risk- & Compliance-Management

Beim IT-GRC Management stehen bei uns Instrumente und Führungsstrukturen des Informations-Managements sowie Fragen der (ggf. toolgestützten) Modellierung von Risikomanagement und Compliance-Anforderungen im Vordergrund sowie der zielgerichtete Einsatz von technischen und organisatorischen Maßnahmen zur passgenauen Erfüllung identifizierter Anforderungen.

  • Unter IT-Governance ist die auf den Geschäftszweck ausgerichtete Steuerung der Informationstechnik zu verstehen, in deren Rahmen insbesondere überprüft wird, ob die getroffenen Richtlinien, Policies und Prozeduren bestehende Vorgaben adäquat umsetzen.
  • Beim Risk Management wird dagegen überprüft, ob IT- bzw. operative Risiken und vor allem die fortbestandsgefährdenden Risiken erkannt und deshalb vermieden, abgemildert oder auf Dritte übertragen werden können.
  • Das Compliance Management stellt schließlich sicher, dass geltende Gesetze, getroffene Vereinbarungen, Best-Practice-Standards und der aktuelle Stand der Technik eingehalten werden. Compliance bedeutet nichts anderes, als mit Vorgaben konform zu gehen. Compliant zu sein bedeutet nicht zwangsläufig sicher zu sein – kann es aber, wenn man es richtig macht!

Im Rahmen des Information-Assurance-Ansatzes spielt das Wissen um Regularien, Frameworks, IT-Risiken und Compliance eine zentrale Rolle.

Wer heute Sicherheitsmaßnahmen durchführt, ohne diese fundiert zu begründen und „audit-ready“ zu dokumentieren, handelt ineffizient. Viele Unternehmen betrachten außerdem noch jede Anforderung gesondert. Eine planvolle und schlüssige Herangehensweise verhindert dagegen derartige Fleißarbeit in vielen Fällen. Fragen Sie uns, wenn Sie effektiv und effizient zugleich sein wollen.

Unsere Dienstleistungen umfassen hierbei mitunter:

  • Beratung zur effizienten, strukturellen Aufstellung des Risk- und Compliance-Managements
  • Risiko-Analysen und die Erstellung von Risiko-Katalogen sowie das Mapping auf ISO/IEC 2700x oder andere Controls
  • Etablierung von Informationssicherheits-Management Systemen z. B. nach ISO/IEC 27001 (auch auf Basis des IT-Grundschutzes)
    Optional Hinführung zur Zertifizierung
  • Notfallvorsorge/Business Continuity Management (BCM) (ISO 22301, BSI-Standard 100-4 bzw. 200-4)
  • Unterstützung bei der Erfüllung von IT-Compliance-Anforderungen (z. B. bezüglich Anforderungen aus PCI DSS, Datenschutz, OpRisk oder sonstigen regulatorischen, gesetzlichen oder internen Anforderungen inkl. KRITIS und den entsprechenden B3S)
  • Erstellung oder Reviews von „PPPs“ (Policies, Processes and Procedures)
  • Gap-Analysen

Aktuell: Anforderungen des PDSG

  • Im Zuge des PDSG müssen alle Krankenhäuser bis zum 1.1.2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen und hierzu den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus unter Berücksichtigung der Faktoren Patientensicherheit und Behandlungseffektivität umsetzen.
  • Ebenfalls durch das PDSG veranlasst müssen auch alle medizinische Versorgungszentren (MVZ) und andere Leistungserbringer bis zum 1.1.2022 die von der KBV erlassenen Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit unter Vermeidung von Störungen umsetzen.
  • Durch DiGAV wiederum muss bis zum 1.4.2022 gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte auf Verlangen ein Zertifikat zur ISO/IEC 27001 (bzw. auf Basis von IT-Grundschutz) für betriebene digitale Gesundheitsanwendungen inkl. einem Nachweis des Herstellers über die Durchführung einer strukturierten Schutzbedarfsanalyse vorlegen.
  • Im Rahmen des IT-Sicherheitsgesetzes 2.0 sind Stellen aus dem Gesundheitssektor, die als kritische Infrastruktur eingestuft sind, zudem dazu angehalten, bis zum 01.05.2023 ein System zur Angriffserkennung zu betreiben. Das betrifft soweit auch betriebene Medizin- und Versorgungstechnik.

Wir unterstützen Sie gerne!

Kontakt

Ihre Ansprechpartner:
Bernhard C. Witt
Telefon: +49 731 20589-0
E-Mail: itgrc@it-sec.de

Back To Top