Informationssicherheit

1450

Wenn's weh tut!

1450

Informationssicherheitspolitik der SALK
Ziele

Die Informationssicherheit der SALK soll Vertraulichkeit, Integrität und Verfügbarkeit wichtiger Daten gewährleisten. Dies geschieht zweckmäßig und mit angemessenem Aufwand. So wird das Vertrauen von Patientinnen und Patienten, Mitarbeitenden, zuweisenden Ärztinnen und Ärzten, weiteren Kunden, Lieferanten und der Öffentlichkeit geschützt.

Das erfordert:

  • Schutz vor unbefugter Einsichtnahme in Informationen (Vertraulichkeit).
  • Schutz der Daten vor unbefugter Veränderung (Integrität).
  • Bereitstellung von Informationen, wenn sie benötigt werden (Verfügbarkeit).

Die SALK streben ein Sicherheitsniveau nach ISO/IEC 27001 an. Zur Umsetzung betreiben sie ein Informationssicherheits-Managementsystem (ISMS). Alle Mitarbeitenden und Partner sind verpflichtet, im Umgang mit Patientinnen und Patienten, Angehörigen, Besucherinnen und Besuchern, Kunden und Lieferanten ein hohes ethisches Niveau einzuhalten.

Verantwortlichkeiten und Pflichten

Die Einhaltung der Gesetze und Richtlinien zur Informationssicherheit ist für die SALK eine Pflicht und zugleich höchste Priorität. Informationssicherheit beruht nicht nur auf Technik. Ebenso wichtig sind organisatorische und personelle Maßnahmen. Selbst die besten technischen Schutzmaßnahmen bleiben wirkungslos, wenn diese Voraussetzungen fehlen. Alle, die IT-Systeme entwickeln, betreiben, warten oder nutzen, tragen mit sicherheitsbewusstem Verhalten Verantwortung.

  • Management: Die Aufrechterhaltung der Informationssicherheit ist Führungsaufgabe. Die Leitungsebenen der SALK leben die Ziele der Richtlinie vor. Sie übernehmen eine Vorbildrolle beim Schutz vertraulicher Daten und fordern von allen Mitarbeitenden ein konsequent sicheres Handeln.
  • Informationssicherheits-Organisation: Sie ist Teil des ISMS und entwickelt die Richtlinien, Standards und Vorgaben. Sie kommuniziert diese, sorgt für deren Einhaltung, definiert Rollen und Gremien und stellt die nötigen Ressourcen bereit.
  • Mitarbeitende: Alle übernehmen Verantwortung für den Schutz vertraulicher Daten, besonders von Patienten, Mitarbeitenden sowie Betriebs- und Geschäftsgeheimnissen. Jede Person trägt Verantwortung für die ordnungsgemäße Behandlung von Daten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit.
Risikostrategien

Die SALK ergreifen im Rahmen des Risiko-Managements Maßnahmen, um Informationssicherheitsrisiken so weit wie möglich zu reduzieren. Trotz des Anspruchs höchster Sicherheit gelten die Prinzipien von Angemessenheit, Ausgewogenheit und Durchgängigkeit.

Maßnahmen zur Informationssicherheit

Auf Basis der Informationssicherheits-Richtlinie werden Maßnahmen entwickelt, geplant und umgesetzt. Sie sind nicht Teil dieses Grundsatzdokuments, sondern werden in eigenen Informationssicherheitsdokumenten festgelegt.

Schulung und Sensibilisierung

Verständnis, Motivation und Bewusstsein sind nötig, damit Vorgaben eingehalten werden. Mitarbeitende aller Ebenen werden regelmäßig geschult und sensibilisiert.

Aufrechterhaltung und kontinuierliche Verbesserung

Zur Sicherung und Weiterentwicklung der Informationssicherheit führt das Management regelmäßige Audits durch. Alle Abteilungen und Standorte unterstützen dabei. Die Audits prüfen Wirksamkeit und Übereinstimmung der Maßnahmen mit der Richtlinie. Bei Abweichungen werden Korrekturmaßnahmen gesetzt.