Nr | Zielobjekt | Anforderung | Erläuterung | weitere Informationen |
---|---|---|---|---|
1. | Personal | Geregelte Einarbeitung neuer Mitarbeitender | Mitarbeitende müssen zu Beginn ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet werden. Die Mitarbeitenden müssen über bestehende Regelungen, Handlungsanweisungen und Verfahrensweisen informiert werden. |
→ Vorlage unter Musterdokumente erhältlich |
2. | Personal | Geregelte Verfahrensweise beim Weggang von Mitarbeitenden | Ausscheidende Mitarbeitende müssen alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen zurückgeben. Zugangsdaten (bspw. Passwörter), die dem ausscheidendem Mitarbeiter bekannt waren oder von ihm genutzt wurden, müssen geändert oder vernichtet werden. Vor der Verabschiedung muss noch einmal auf die fortdauernden Verschwiegenheitsverpflichtungen hingewiesen werden. |
→ Vorlage unter Musterdokumente erhältlich |
3. | Personal | Festlegung von Regelungen für den Einsatz von Fremdpersonal | Externes Personal muss wie alle eigenen Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Kurzfristig oder einmalig eingesetztes Fremdpersonal muss in sicherheitsrelevanten Bereichen beaufsichtigt werden. Ggf. notwendige Zugangsberichtigungen sind so restriktiv wie möglich zu halten. |
|
4. | Personal | Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal | Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen erhalten, müssen mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher Form geschlossen werden. | Zum Abschluss der Vertraulichkeitsvereinbarung kann folgendes Musterdokument verwendet werden. → Vorlage unter Musterdokumente erhältlich |
5. | Personal | Aufgaben und Zuständigkeiten von Mitarbeitenden | Alle Mitarbeitenden müssen dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Die Mitarbeitenden müssen auf den rechtlichen Rahmen ihrer Tätigkeit hingewiesen werden. Die Aufgaben und Zuständigkeiten von Mitarbeitenden müssen in geeigneter Weise dokumentiert sein. Dabei sollte ebenfalls dokumentiert werden, welche Berechtigungen und Zugänge für die Mitarbeitenden bereitgestellt/genutzt werden. Außerdem müssen alle Mitarbeitenden darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind. | Die Dokumentation der Aufgaben und Zuständigkeiten kann in den Arbeitsverträgen oder weiteren Vereinbarungen erfolgen. Für die Dokumentation der Berechtigungen und Zugänge bietet sich ein Formular wie das Musterdokument an. → Vorlage unter Musterdokumente erhältlich |
6. | Personal | Qualifikation des Personals | Mitarbeitende müssen regelmäßig geschult bzw. weitergebildet werden, insbesondere auch im Bezug auf die eingesetzte Technik/IT. Es müssen betriebliche Regelungen vorhanden sein, welche mit geeigneten Mitteln sicherstellen, dass die Mitarbeitenden auf einem aktuellen Kenntnisstand sind. Weiterhin sollte den Mitarbeitenden während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden. | Werden Stellen besetzt, müssen die erforderlichen Qualifikationen und Fähigkeiten genau formuliert sein. Anschließend sollte geprüft werden, ob diese bei den Bewerbenden für die Stelle tatsächlich vorhanden sind. Es muss sichergestellt sein, dass Stellen nur von Mitarbeitenden besetzt werden, für die sie qualifiziert sind. |
7. | Personal | Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden | Bei der Einstellung neuer Mitarbeitenden sollte besonders auf ihre Vertrauenswürdigkeit, beispielsweise bei der Prüfung vorliegender Arbeitszeugnisse, geachtet werden. Soweit möglich, sollten alle an der Personalauswahl Beteiligten kontrollieren, ob die Angaben der Bewerbenden, die relevant für die Einschätzung ihrer Vertrauenswürdigkeit sind, glaubhaft sind. | Die Möglichkeiten, die Vertrauenswürdigkeit von neuem oder externem Personal überprüfen zu lassen, sind in Deutschland rechtlich sehr eingeschränkt. Dazu kommt, dass die Ergebnisse meist wenig aussagekräftig sind, wie z. B. bei polizeilichen Führungszeugnissen. Grundsätzlich sollte aber vor der Übernahme von neuen oder externen Mitarbeitende überprüft werden, ob
|
8. | Sensibilisierung und Schulung zur Informationssicherheit | Sensibilisierung der Praxisleitung für Informationssicherheit | Die Praxisleitung muss ausreichend für Sicherheitsfragen sensibilisiert werden. Sicherheitskampagnen oder andere Schulungsmaßnahmen müssen von der Praxisleitung unterstützt werden. | Es ist für den Sicherheitsprozess wichtig, dass dieser aktiv von der Praxisleitung unterstützt wird. Hierfür muss die Praxisleitung den Wert von Informationssicherheit erkannt und verinnerlicht haben. Wichtige Informationen, die dabei für die Praxisleitung relevant sind:
|
9. | Sensibilisierung und Schulung zur Informationssicherheit | Einweisung des Personals in den sicheren Umgang mit IT | Alle Mitarbeitenden und externen Benutzenden müssen in den sicheren Umgang mit IT-Komponenten eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeitszusammenhänge relevant ist. | Um Sicherheitsprobleme durch fehlerhafte Benutzung bzw. Konfiguration der IT zu vermeiden, sollten alle Mitarbeitende in den sicheren Umgang mit den IT-Komponenten der Praxis eingewiesen und geschult werden, soweit dies ihre Arbeitszusammenhänge betrifft.
|
10. | Sensibilisierung und Schulung zur Informationssicherheit | Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit | Alle Mitarbeitenden sollten entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden. |
→ weitere Hinweise unter Fortbildungen erhältlich. |
11. | Netzwerksicherheit | Absicherung der Netzübergangspunkte | Der Übergang zu anderen Netzen insbesondere dem Internet muss durch eine Firewall geschützt werden. Primäres Ziel ist es, keine unerlaubten Verbindungen von außen in das geschützte Netz zuzulassen. Zusätzlich sollten nur erlaubte Verbindungen aus dem geschützten Netz nach außen aufgebaut werden können. |
|
12. | Netzwerksicherheit | Dokumentation des Netzes | Das interne Netz ist inklusive eines Netzplanes zu dokumentieren. |
→ Vorlage unter Musterdokumente erhältlich |
13. | Netzwerksicherheit | Grundlegende Authentisierung für den Netzmanagement-Zugriff | Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete Authentisierung verwendet werden. |
|
14. | Patch- und Änderungsmanagement | Installation von Updates | Updates müssen zeitnah nach ihrer Veröffentlichung installiert werden. |
|
15. | Patch- und Änderungsmanagement | Verantwortlichkeit für Updates | Es muss festgelegt werden, wer die Updates installiert. Das ausgewählte Personal muss geschult und entsprechend berechtigt werden. |
|
16. | Patch- und Änderungsmanagement | Identifizierung ausbleibender Updates | Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen identifiziert werden. |
|
17. | Patch- und Änderungsmanagement | Ausmusterung oder Separierung bei ausbleibenden Updates | Hardware, eingesetzte Betriebssysteme, eingesetzte Anwendungen und Dienste, die keine Sicherheitsupdates mehr erhalten, müssen ausgemustert oder separiert in einem eigenen Netzwerksegment betrieben werden. |
|
18. | Endgeräte | Verhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und Kameras | Mikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden. |
|
19. | Endgeräte | Abmelden nach Aufgabenerfüllung | Nach Ende der Nutzung immer den Zugang zum Gerät sperren oder abmelden. |
|
20. | Endgeräte | Einsatz von Viren-Schutzprogrammen | Aktuelle Virenschutzprogramme sind einzusetzen. |
|
21. | Endgeräte | Regelmäßige Datensicherung | Sämtliche relevante Daten sind regelmäßig zu sichern. |
|
22. | Endgeräte | Schutz der Datensicherung | Die Datensicherung muss vor unbefugtem Zugriff gesichert werden. |
|
23. | Endgeräte | Art der Datensicherung | Es muss festgelegt werden, wie die Daten gesichert werden. |
|
24. | Endgeräte | Verantwortliche der Datensicherung | Es muss festgelegt werden, wer für die Datensicherung zuständig ist. |
|
25. | Endgeräte | Test der Datensicherung | Es sollte getestet werden, ob gesicherte Daten funktionsfähig und vollständig vorhanden sind. |
|
26. | Endgeräte | Der Zugriff auf Geräte und Software muss abgesichert werden. | Es sollten Benutzer und Rollen in der Praxissoftware zum Steuern der Zugriffe auf Patientendaten oder zur Nutzung von Sicherheitskarten wie z.B. den eHBA für den Inhaber der Karte eingerichtet werden. |
|
27. | Endgeräte mit dem Betriebssystem Windows | Konfiguration von Synchronisationsmechanismen | Die Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden. |
|
28. | Endgeräte mit dem Betriebssystem Windows | Datei- und Freigabeberechtigungen | Berechtigungen und Zugriffe sind pro Personengruppe und pro Person zu regeln. |
|
29. | Endgeräte mit dem Betriebssystem Windows | Datensparsamkeit | So wenige personenbezogene Daten wie möglich sind zu verwenden. |
|
30. | Smartphone und Tablet | Verwendung der SIM-Karten-PIN | SIM-Karten sind durch eine PIN zu schützen. Super-PIN/PUK sind nur durch Verantwortliche anzuwenden. |
|
31. | Smartphone und Tablet | Sichere Grundkonfiguration für mobile Geräte | Auf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräten das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss. |
|
32. | Smartphone und Tablet | Verwendung eines Zugriffschutzes | Geräte sind mit einem komplexen Gerätesperrcode zu schützen. |
|
33. | Smartphone und Tablet | Datenschutz-Einstellungen | Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen der Endgeräte sollte in den Einstellungen restriktiv auf das Notwendigste eingeschränkt werden. |
|
34. | Mobiltelefon | Sperrmaßnahmen bei Verlust eines Mobiltelefons | Bei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Die dafür notwendigen Mobilfunkanbieter-Informationen sind zu hinterlegen, um bei Bedarf darauf zugreifen zu können. |
|
35. | Mobiltelefon | Nutzung der Sicherheitsmechanismen von Mobiltelefonen | Alle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard-Einstellung vorkonfiguriert werden. |
|
36. | Wechseldatenträger / | Schutz vor Schadsoftware | Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden. |
|
37. | Wechseldatenträger / | Angemessene Kennzeichnung der Datenträger beim Versand | Beim Versand von Datenträgern sollte der Absender diese für den Empfänger eindeutig kennzeichnen. Dabei sollte die Kennzeichnung möglichst keine Rückschlüsse auf den Inhalt für andere ermöglichen. |
|
38. | Wechseldatenträger / | Sichere Versandart und Verpackung | Zum Versand von Datenträgern sollten Versandanbieter mit sicherem Nachweis-System und eine möglichst manipulationssichere Versandart und Verpackung gewählt werden. |
|
39. | Wechseldatenträger / | Sicheres Löschen der Datenträger vor und nach der Verwendung | Alle Datenträger müssen nach ihrer Verwendung durch den jeweiligen Mitarbeiter /Mitarbeiterin sicher und vollständig gelöscht werden. |
|
40. | E-Mail-Client und -Server | Sichere Konfiguration der E-Mail-Clients | Bei der Konfiguration der E-Mail-Clients muss mindestens Folgendes berücksichtigt werden:
|
|
41. | E-Mail-Client und -Server | Umgang mit Spam durch Benutzende | Grundsätzlich sollten die Benutzenden alle Spam-E-Mails ignorieren und löschen. Die Benutzenden sollten auf unerwünschte E-Mails nicht antworten. Sie sollten Links in diesen E-Mails nicht folgen. |
|
42. | Mobile Anwendungen (Apps) | Sichere Apps nutzen | Apps sollten nur aus den offiziellen Stores geladen werden. Sofern Apps nicht mehr benötigt werden, ist der Benutzeraccount in der App / das Benutzerkonto zu löschen und danach die App auf dem Gerät zu deinstallieren. |
|
43. | Mobile Anwendungen (Apps) | Sichere Speicherung lokaler App-Daten | Es sollten nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern. |
|
44. | Mobile Anwendungen (Apps) | Verhinderung von Datenabfluss | Der Zugriff von Apps auf vertrauliche Daten muss durch restriktive Datenschutz-Einstellungen soweit wie möglich eingeschränkt werden. |
|
45. | Internet-Anwendungen - Anbieter | Authentisierung bei Webanwendungen | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss Webanwendungen und Webservices so konfigurieren, dass sich Clients gegenüber der Webanwendung oder dem Webservice authentisieren müssen, wenn diese auf geschützte Ressourcen zugreifen wollen. Dafür muss eine angemessene Authentisierungsmethode ausgewählt werden. Der Auswahlprozess sollte dokumentiert werden. Der IT-Betrieb muss geeignete Grenzwerte für fehlgeschlagene Anmeldeversuche festlegen. |
|
46. | Internet-Anwendungen - Anbieter | Schutz vertraulicher Daten | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Zugangsdaten zur Webanwendung oder zum Webservice serverseitig mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff geschützt werden. Dazu müssen Salted Hash-Verfahren verwendet werden. Die Dateien mit den Quelltexten der Webanwendung oder des Webservices müssen vor unerlaubten Abrufen geschützt werden. |
|
47. | Internet-Anwendungen – Anbieter | Einsatz von Web Application Firewalls | Sollten Sie als Praxis einen Webdienst anbieten: Institutionen sollten eine Web Application Firewall (WAF) einsetzen. Die Konfiguration der eingesetzten WAF sollte auf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices sollte die Konfiguration der WAF geprüft werden. |
|
48. | Internet-Anwendungen - Anbieter | Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen | Sollten Sie als Praxis einen Webdienst anbieten: Der IT-Betrieb muss sicherstellen, dass Webanwendungen und Webservices vor unberechtigter automatisierter Nutzung geschützt werden. Dabei muss jedoch berücksichtigt werden, wie sich die Schutzmechanismen auf die Nutzungsmöglichkeiten berechtigter Clients auswirken. Wenn die Webanwendung RSS-Feeds oder andere Funktionen enthält, die explizit für die automatisierte Nutzung vorgesehen sind, muss dies ebenfalls bei der Konfiguration der Schutzmechanismen berücksichtigt werden. |
|
49. | Internet-Anwendungen - Anwender | Kryptografische Sicherung vertraulicher Daten | Bei der Nutzung von Webanwendungen ist darauf zu achten, dass eine verschlüsselte Kommunikation zum Einsatz kommt (z.B. https statt http). |
|
50. | Cloud-Anwendungen - Anbieter | Sicherheit von Cloud-Dienstleistern | Soweit Sozial- oder Gesundheitsdaten im Wege des Cloud-Computing verarbeitet werden sollen, muss der Anbieter der eingesetzten Cloud-Anwendung über ein aktuelles C5-Testat entsprechend § 393 SGB V in Verbindung mit § 384 SGB V verfügen. |
|