Mit der Veröffentlichung des branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser liegt seit Anfang 2019 der Standard für IT-Sicherheit im Krankenhaus beim BSI. Dieser ist nun in der Version 1.1 vom BSI als B3S Standard freigegeben. Der Standard gibt nicht nur vor, welche Schutzziele der ISO 27001 in einer Umsetzung für die IT vorgenommen werden müssen, sondern auch, dass ein Informationssicherheits Risikomanagement (ISMS-Risikomanagement) zu etablieren ist. Es sind spezielle Anforderungen und Systeme definiert.
In diesem Workshop wird den Teilnehmern die Integration von B3S in verinice aus Anwendersicht anhand von zahlreichen praktischen Beispielen nähergebracht.

Dieser Workshop ist für fortgeschritte verinice-Anwender konzipiert.

Im Workshop wird ein ISMS für eine einfache Institution mit verinice dokumentiert. Zunächst werden nach der Vorgehensweise des BSI-Standards 200-2 die Struktur des Informationsverbundes in verinice erstellt, die
Zielobjekte verknüpft und der Schutzbedarf dokumentiert. Nach der Modellierung der erforderlichen Prozess- und System-Bausteine erfolgt für ausgewählte Objekte ein Grundschutz-Check, der den Stand der Umsetzung der Grundschutz-Anforderungen in verinice dokumentieren soll.
Anschließend wird für ein Zielobjekt eine Risikoanalyse nach BSI-Standard 200-3 in verinice dokumentiert. Hierfür kommt auch ein benutzerdefinierter Baustein zum Einsatz. Abschließend können die für die Zertifizierung erforderlichen Referenzdokumente A1 bis A6 als Report erzeugt werden.

Voraussetzung: Die TeilnehmerInnen sollen Grundkenntnisse in Informationssicherheit mitbringen. Kenntnisse in Bedienung in verinice werden nicht vorausgesetzt.

Durch die stetige Digitalisierung müssen Unternehmen und Behörden Informationssicherheit zielgerichtet organisieren und kontinuierlich weiterentwickeln. Gleichzeitig sind Organisationen gemäß der DSGVO verpflichtet Datenschutzmaßnahmen umzusetzen. Die Herausforderungen in der Praxis bestehen einerseits in der Verzahnung von Informationssicherheit und Datenschutz sowie einer angemessenen und pragmatischen Dokumentation andererseits. So klar es auf den ersten Blick auch erscheint, die Grenzen zwischen Informationssicherheit und Datenschutz verschwimmen in der Praxis wiederkehrend, weshalb eine Zuordnung zu einem dieser Gebiete häufig eine Herausforderung darstellt.
Was muss eigentlich dokumentiert werden, und wie? Im Rahmen des Workshops stehen die Einführung in das Tool verinice im Bereich Sicherheitsmanagement sowie die Umsetzung des Datenschutzes mit Hilfe von verinice im Fokus. Mit Beispielen aus der Praxis und best practices soll gemeinsam an den einzelnen Aspekten, insbesondere im Bereich des Datenschutzes gearbeitet werden. Themen dabei sind u.a. die Umsetzung der Dokumentations- und Informationspflichten sowie der Umgang mit Risiken in den Ökosystemen Datenschutz und Informationssicherheit.
Fragestellungen der AnwenderInnen werden auch ausreichend Raum haben. Der praktische Austausch steht im Vordergrund des Workshops.

verinice Grundlagen

Der leichte Einstieg in verinice. Allgemeine Bedienung und Einrichtung, Perspektiven, Views und generelle Einstellungen.

Best Practice ISO

Strukturabbildung, Business Impact und Controls. Aufbau des ISMS nach ISO 27001.

Risk Assessment mit verinice

Durchführung der Risikoanalyse und des Risikomanagements nach ISO 27005.

Umsetzung der EU-DSGVO mit verinice

Verzeichnis der Verarbeitungstätigkeiten, Auftragsdatenverarbeitung, Risk Assessment und Datenschutz-Folgenabschätzung