DMEA 2026 – Bildmanagement neu denken mit Telepaxx – jetzt Termin vereinbaren

EN
EN
Kostenlose Beratung

Leitlinie zur Informationssicherheit

1. Zweck

Die Telepaxx Medical Data GmbH hat sich sowohl dem Schutz der Informationswerte ihrer Kunden als auch ihres Unternehmens verschrieben. Telepaxx begegnet den Herausforderungen des Datenschutzes durch die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Dieses System wurde entwickelt, um höchste Standards in Bezug auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität zu gewährleisten. In Übereinstimmung mit ISO/IEC 27001:2022 und BSI C5:2020 (Cloud Computing Compliance Controls Catalog) unterstreichen die Leitprinzipien zur Informationssicherheit (Information Security Guiding Principle) die Bedeutung, die Telepaxx der Sicherung der wertvollen Daten seiner Kunden sowie der Aufrechterhaltung ihres Vertrauens beimisst.

Dieses Dokument beschreibt die Grundsätze, Richtlinien und Prozesse, welche die Grundlage des ISMS bilden, und die Anstrengung leiten, um die Informationswerte der Kunden sowie der Organisation von Telepaxx zu schützen.

2. Anwendungsbereich

Das Informationssicherheits-Managementsystem umfasst alle Aktivitäten der Telepaxx Medical Data GmbH. Ein Schwerpunkt des ISMS liegt auf der sicheren Bereitstellung der Kundenservices

  • e-pacs (mit C3 Storage Center), und
  • TMD Cloud Archive (inklusive des View-Moduls)

wie in den entsprechenden Systembeschreibungen beschrieben, sowie alle Informationen, Systeme, Netzwerke, Dienste, Organisationseinheiten, Standorte und Verfahren, die für den Betrieb und die Entwicklung dieser Dienste erforderlich sind.

Die Vorschriften dieses Guiding Principle sind für alle Mitarbeiter, Auftragnehmer und Dritte, die mit dem Geltungsbereich des ISMS interagieren, verbindlich.

Die anwendbaren Klauseln der ISO/IEC 27001:2022 Anhang A und der BSI C5:2020 sind in der Erklärung zur Anwendbarkeit dokumentiert.

3. Verpflichtungserklärung und Sicherheitsziele

In Zeiten des technologischen Wandels und neuer, ausgefeilter Methoden, mit denen Systeme kompromittiert werden, ist Informationssicherheit zu einem entscheidenden Erfolgsfaktor für jedes IT-Unternehmen geworden. Dies gilt insbesondere für Telepaxx, da das Unternehmen sensible medizinische Daten für seine Kunden verarbeitet.

Das Geschäftsziel von Telepaxx ist es, der führende Partner für Krankenhäuser und Privatpraxen im Bereich der digitalen Bilddatenverwaltung zu werden. Das Unternehmen möchte seine Kunden bei der Einführung datenbasierter Technologien und Dienstleistungen im Zusammenhang mit medizinischen Bilddaten unterstützen.

Für den vorgegebenen Anwendungsbereich richtet Telepaxx ein ISMS ein, implementiert, pflegt und verbessert dieses kontinuierlich, einschließlich der erforderlichen Prozesse und deren Wechselwirkungen, in Übereinstimmung mit ISO/IEC 27001:2022 und in Übereinstimmung mit BSI C5:2020.

Die Unternehmensleitung stellt angemessene Ressourcen und Fachkenntnisse zur Verfügung, um sicherzustellen, dass das ISMS kontinuierlich verbessert wird, um den Anforderungen der Kunden und des schnelllebigen Unternehmens an die Informationssicherheit gerecht zu werden.

Telepaxx verpflichtet sich, neu identifizierte, anwendbare und angemessene Sicherheitsanforderungen, wie sie von Kunden, Mitarbeitern und anderen Interessengruppen empfohlen werden, einzuhalten.

Telepaxx ist sich der Sensibilität der im Auftrag seiner Kunden verarbeiteten Informationswerte, bei denen es sich mehrheitlich um medizinische Daten handelt, bewusst. Der Schutz dieser Informationswerte, insbesondere der Schutz deren Vertraulichkeit und Datenintegrität, ist nicht nur für die Kunden von Telepaxx, sondern auch für Telepaxx selbst von entscheidender Bedeutung.

Im Rahmen unserer Verpflichtung zur Einhaltung höchster Standards im Bereich der Informationssicherheit hat sich Telepaxx folgenden Zielen hinsichtlich der Informationssicherheit verschrieben:

  1. Schutz von Informationswerten:

    • Vertraulichkeit: Sicherstellung, dass sensible Informationen nur für diejenigen zugänglich sind, die dazu berechtigt sind.

    • Integrität: Gewährleistung der Genauigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

    • Verfügbarkeit: Sicherstellung, dass autorisierte Benutzer bei Bedarf Zugriff auf Informationen und zugehörige Ressourcen haben.

    • Authentizität: Sicherstellung, dass Informationen echt sind und aus einer vertrauenswürdigen Quelle stammen.

  2. Compliance: Einhaltung relevanter Gesetze, Vorschriften und vertraglicher Verpflichtungen, einschließlich der Anforderungen von ISO/IEC 27001:2022 und BSI C5.
  3. Risikomanagement: Systematische und proaktive Identifizierung, Bewertung und Steuerung von Risiken für die Informationssicherheit.
  4. Kontinuierliche Verbesserung: Regelmäßige Überprüfung und Verbesserung unserer Informationssicherheitspraktiken, um neuen Bedrohungen und Schwachstellen zu begegnen.

4. Rollen und Verantwortlichkeiten

Telepaxx hat im Rahmen seines ISMS die folgenden Rollen und Verantwortlichkeiten implementiert.

4.1 Unternehmensleitung

  • genehmigt und unterstützt das ISMS.
  • stellt die erforderlichen Ressourcen für die wirksame Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS bereit.
  • stellt sicher, dass die Ziele der Informationssicherheit mit den strategischen Zielen von Telepaxx übereinstimmen.
  • ernennt den Chief Information Security Officer (CISO) und den Datenschutzbeauftragten (DPO) durch formelle Ernennungsschreiben und gewährt ihnen die erforderlichen Befugnisse zur Erfüllung ihrer jeweiligen Aufgaben.

4.2 Chief Information Security Officer (CISO)

Der CISO

  • leitet die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung des ISMS und stellt dessen Übereinstimmung mit ISO/IEC 27001:2022, BSI C5:2020 und anderen relevanten gesetzlichen Anforderungen sicher.
  • überwacht die Leistung des ISMS und legt der Geschäftsleitung vierteljährliche Berichte vor.

4.3 Data Privacy Protection Officer (DPO)

Der DPO

  • stellt sicher, dass das ISMS der Organisation den geltenden Datenschutzgesetzen, wie beispielsweise der DSGVO, entspricht, und überprüft die Übereinstimmung der entsprechenden Anforderungen mit der Norm ISO/IEC 27001:2022.
  • führt Datenschutz-Folgenabschätzungen durch und überwacht diese, um die mit der Verarbeitung personenbezogener Daten verbundenen Datenschutzrisiken zu bewerten. Gibt Empfehlungen zur Minderung identifizierter Risiken und stellt sicher, dass geeignete Schutzmaßnahmen umgesetzt werden.
  • entwickelt, implementiert, pflegt und verbessert kontinuierlich umfassende Datenschutzrichtlinien und -prozesse. Stellt sicher, dass diese Richtlinien und Prozesse mit der Norm ISO/IEC 27001:2022 und den Anforderungen von BSI C5 übereinstimmen und dass sie innerhalb der gesamten Organisation effektiv kommuniziert und durchgesetzt werden.
  • ist für die Sensibilisierung und Überwachung der Schulungen zum Datenschutz innerhalb der Organisation verantwortlich und stellt sicher, dass die Mitarbeiter ihre Verantwortlichkeiten gemäß den Datenschutzgesetzen und dem ISMS verstehen.

4.4 Mitarbeiter, Auftragnehmer und Dritte

  • halten Sie sich an die Richtlinien und Verfahren zur Informationssicherheit.
  • melden Sie alle entdeckten Vorfälle oder Schwachstellen im Bereich der Informationssicherheit unverzüglich.
  • nehmen Sie je nach Ihrer Rolle und Ihren Aufgaben an Schulungen und Sensibilisierungsprogrammen zum Thema Informationssicherheit teil.

5. Wesentliche Richtlinien, Prozessbeschreibungen und Compliance

Zur Unterstützung des ISMS hat die oberste Geschäftsleitung die folgenden wesentlichen Richtlinien und Prozessbeschreibungen festgelegt. Der CISO ist befugt, zusätzliche Richtlinien und Prozesse einzuführen, die für das ISMS erforderlich sind.

  1. Leitprinzip zur Informationssicherheit (Information Security Guiding Principle): Beschreibt den allgemeinen Ansatz und das Engagement für die Informationssicherheit.
  2. Handbuch zur Informationssicherheit: Enthält Einzelheiten zur Struktur und Organisation des ISMS sowie detaillierte Informationen zur Informationssicherheitsstrategie. Das Handbuch bietet den Mitarbeitern von Telepaxx umfassende Leitlinien zur Umsetzung, Verwaltung, Überprüfung und kontinuierlichen Verbesserung des ISMS, einschließlich weiterer Einzelheiten zu Rollen und Verantwortlichkeiten, Prozessen und Verfahren.
  3. Risk Management Process: Describes the process for identifying, assessing, and treating information security risks.
  4. Business Continuity Management Policy: Gewährleistet die Fortführung kritischer Geschäftsprozesse im Falle einer Störung.

Die Datenschutzrichtlinie, die die Einhaltung von Datenschutzgesetzen und -vorschriften wie der DSGVO gewährleistet, liegt in der Verantwortung des Datenschutzbeauftragten (DSB).

Alle Mitarbeiter, Auftragnehmer und Dritte, die mit dem Geltungsbereich des ISMS in Berührung kommen, müssen sich an die Richtlinien, Prozessbeschreibungen und Leitprinzipien des ISMS halten.

Die Nichteinhaltung der Richtlinien, Prozessbeschreibungen und Leitprinzipien des ISMS wird im Falle von Mitarbeitern durch das festgelegte Disziplinarverfahren und im Falle von Auftragnehmern oder Dritten durch vertragliche Durchsetzungsmaßnahmen und die mögliche Kündigung von Verträgen geahndet, um sicherzustellen, dass die Informationssicherheit jederzeit gewährleistet ist.

Neu eingeführte oder geänderte Richtlinien und Prozesse müssen die Interoperabilität mit bestehenden Telepaxx-Richtlinien und -Prozessen berücksichtigen.

6. ISMS-Struktur und -Strategie

Die integrierte Informationssicherheitsstrategie von Telepaxx dient dem umfassenden Schutz sowohl der Kundendaten als auch der Unternehmensdaten. Diese Strategie umfasst risikobasierte Bewertungen, mehrschichtige Abwehrmechanismen, robuste Notfallwiederherstellungspläne, regelmäßige Sicherheitsaudits und die strikte Einhaltung gesetzlicher und regulatorischer Standards wie ISO/IEC 27001:2022 und BSI C5:2020. Diese Maßnahmen sind in einem ISMS strukturiert, das dem Plan-Do-Check-Act-Zyklus (PDCA) folgt. In der Planungsphase (Plan) identifiziert Telepaxx Risiken, legt Sicherheitsziele fest und entwickelt Pläne zur Risikominderung. Die Durchführungsphase (Do) konzentriert sich auf die Umsetzung dieser Pläne durch den Einsatz spezieller Ressourcen und deren Integration in den täglichen Betrieb. In der Überprüfungsphase (Check) bewertet Telepaxx regelmäßig die Wirksamkeit des ISMS durch Audits und Überprüfungen, und in der Aktionsphase (Act) wird die kontinuierliche Verbesserung durch die Behebung von Nichtkonformitäten und die Aktualisierung bestehender Prozesse vorangetrieben. Dieser integrierte, dynamische Ansatz gewährleistet ein Höchstmaß an Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der Daten und stärkt so das Vertrauen von Kunden und Partnern.

Einzelheiten zur Struktur und Organisation des ISMS sowie die detaillierte Strategie zur Informationssicherheit sind im Handbuch zur Informationssicherheit dokumentiert, das ausschließlich für den internen Gebrauch bestimmt ist.

7. Umsetzung, Überprüfung und Kommunikation

Das ISMS wird gemäß den Normen ISO/IEC 27001:2022 und BSI C5 unter Anwendung eines strukturierten und systematischen Ansatzes implementiert. Die Wirksamkeit des ISMS wird regelmäßig durch interne Audits, Managementbewertungen und kontinuierliche Überwachung überprüft.

Die oberste Führungsebene überprüft jährlich die Leitprinzipien zur Informationssicherheit und aktualisiert sie bei Bedarf, um ihre fortdauernde Relevanz und Wirksamkeit bei der Erreichung der Ziele zur Informationssicherheit sicherzustellen.

Dieser Leitgedanke wird internen und externen Mitarbeitern durch Veröffentlichung im Telepaxx-Intranet und Bestätigung während des Onboarding-Prozesses vermittelt. Darüber hinaus wird er Kunden im Rahmen der Systembeschreibung mitgeteilt und steht Interessenten bei Bedarf und sofern angemessen zur Verfügung. Änderungen des Leitgedankens werden entsprechend kommuniziert.

8. Genehmigung

Diese Leitprinzipien für das Informationssicherheits-Managementsystem (Information Security Management System Guiding Principle) wurden von der Geschäftsleitung der Telepaxx Medical Data GmbH genehmigt.

Überarbeitung 4.0

Zertifizierungen für Informationssicherheit

ISO 27001 Zertifizierung

Telepaxx Medical Data ist gemäß der globalen Norm für Informationssicherheits-Managementsysteme ISO/IEC 27001/2022 zertifiziert.

Mehr

C5 Testat

Telepaxx verfügt über eine C5-Bescheinigung (Typ 1) für seine Cloud-Software TMD Cloud, die für die Nutzung von Cloud-Diensten in deutschen Gesundheitseinrichtungen vorgeschrieben ist.

Mehr