Aufbau eines ISMS am Beispiel Pharma
Der B3S Pharma ist für Unternehmen der pharmazeutischen Industrie, aber auch für ihre Zulieferer ein Ansatzpunkt, um ein ISMS spezifisch für den Pharmabereich einzuführen. Aufgrund der eingeschränkten Verfügbarkeit des B3S Pharma für Nicht-KRITIS-Betreiber und der Übereinstimmung mit anderen ISMS-Ansätzen sollte sich der Aufbau eines ISMS zunächst an den nationalen und internationalen Standards (ISO 27001, BSI-Grundschutz, NIST etc.) orientieren. Vorhandene Prozesse und Systeme der pharmazeutischen Qualitätssicherung, insbesondere aus dem Bereich der Computersystem-Validierung bzw. aus der IT-Qualitätssicherung, können für Maßnahmen zur Informationssicherheit angepasst werden oder Templates für neue Prozesse des ISMS liefern. Durch den Vergleich des Status-Quo mit den Anforderungen des B3S Pharma lassen sich so im zweiten Schritt der Handlungsbedarf und erforderliche Investitionen feststellen.
Primäres Schutzziel: Die Verfügbarkeit
Die Besonderheit der KRITIS-Schutzziele liegt darin, dass sie sich auf die Versorgungssicherheit der Bevölkerung und damit auf der Funktionsfähigkeit der kritischen Dienstleistungen fokussieren und weniger auf betriebswirtschaftliche Anforderungen wie den Patentschutz oder Markenimage. Daher ist die Verfügbarkeit das primäre Schutzziel, neben der Integrität, Authentizität und Vertraulichkeit von Informationen. Für die Berücksichtigung vorhandener Maßnahmen können sich Pharmafirmen an den IT-Sicherheit bezogenen Punkte im EU-GMP-Leitfaden (Anhang 11) orientieren. die gesetzlich Diese sind u. a.:
- Definierte Rollen und Verantwortlichkeiten
- Festlegung der Aufgaben in Zusammenarbeit mit Lieferanten
- Inventarisierung der computergestützten Systeme
- Beschreibung des Datenaustausches zwischen verschiedenen Systemen
- Datenintegrität
- (Kontroll-)Maßnahmen für Daten- und Systemintegrität
- Datensicherung und Wiederherstellung
- Physische und logische Zugriffskontrollen
- Änderungssteuerungs- und Konfigurationsmanagement
- Periodische Überprüfung z.B. der Funktionen, Abweichungen, Änderungen, Leistung und Zuverlässigkeit der Computersysteme
Das Masterdokument in der Initial-Phase
Informationssicherheit muss im Sinne eines modernen Qualitätsmanagementansatzes als kontinuierlicher Prozess betrachtet werden. Hierfür hat sich der PDCA-Managementzyklus (Plan/Planen, Do/Implementieren, Check/Überprüfen, Do/Handeln) in der Praxis bewährt.
Für die erste Phase (Plan) ist ein Voraudit der Ausgangspunkt. Ein ISMS-Dienstleister prüft die Anforderungen und das Vorhandensein von ISMS-Komponenten z.B. nach ISO 27001 und oder nach B3S Pharma mit Experten des Unternehmens. Dies geschieht meist über Checklisten, Beobachtungen, Interviews, Dokumentenprüfung und GAP-Analysen. Am Anfang ist wesentlich, den Geltungsbereich des ISMS und die kritischen Dienstleistungen mit Analysen zu den Kontext- und Geschäftsprozessen zu definieren. Häufig enthalten die GMP-Dokumente wie Site Master Files (SMF) oder Zulassungsunterlagen die notwendigen Informationen. Sie sind dann auch die Basis für das wichtigste Masterdokument, die sogenannte Informationssicherheitsrichtlinie. Darin sind im Wesentlichen folgende Ziele festgehalten: die Informationssicherheitsziele und KRITIS-Schutzziele sowie Aufbau, Organisation, Kontext, Rollen und Verantwortlichkeiten und das Vorgehen zur Implementierung des ISMS.
DO: Asset Management, Risikomanagement, Implementierung
Für das Asset Management werden die Unternehmenswerte (Räumlichkeiten, Inventar, Anlagen, IT-Systeme, Komponenten etc.), die es durch das ISMS zu schützen gilt, anhand der kDL-Analyse ermittelt und zugeordnet. Oft kann dabei auf Inventarlisten der Systeme und des IT-Equipment zurückgegriffen werden. Zudem müssen Verantwortlichkeiten für jedes Asset klar und eindeutig zugewiesen werden.
Das Risikomanagement steht im Kern eines ISMS und muss auf die Informationssicherheitsziele und KRITIS-Schutzziele ausgerichtet, etabliert und betrieben werden. Der KRITIS-Betreiber soll in die Lage versetzt werden, systematisch Risiken, die zu Versorgungsengpässen führen können, frühzeitig zu erkennen und die sogenannte Risikobehandlung einzuleiten. Dies setzt auch ein Meldewesen voraus. Ist bei den Pharmafirmen bereits ein Risikomanagement aufgrund der GMP-Anforderungen vorhanden, kann es auf die KRITIS-Schutzziele und die Ausrichtung des Risikomanagements nach KRITIS angepasst werden.
Ergibt sich aus der Risikobewertung Handlungsbedarf, müssen wirksame Maßnahmen zur Reduktion der ermittelten Bedrohungen oder Schwachstellen eingeleitet werden. Dieser Schritt stellt in der Praxis den größten Aufwand dar, weil hier zusammen mit den verantwortlichen Fachbereichen die konkreten Maßnahmen zur Informationssicherheit erarbeitet und in Form von Policies/SOP/Verfahrensanweisungen etabliert werden. In dieser Phase können zur Bestimmung der Controls können die Maßnahmenkataloge aus der ISO 27001 (Anhang A) sowie der ISO 27002 und des BSI Grundschutzes als Blaupausen herangezogen werden, ebenso etablierte Verfahren aus den IT-, GMP-Produktions- und Laborbereichen.
Check: Überwachen und verbessern
In der Phase wird anhand von internen Audits überprüft, ob die Vorgaben aus dem ISMS eingehalten werden. So gilt es Lücken aufzudecken, die bei der ersten Implementierung entstehen können. Hierzu gehören auch die Überwachung und Überprüfung von Lieferantendienstleistungen sowie Sicherheitsanforderungen für die Lieferantenbeziehungen. Meist kann in der Praxis auf etablierte Prozesse des QM- und Lieferantenmanagements zurückgegriffen werden.
In der Phase „Check“ finden die Verbesserungen aus der vorherigen Phase („Act“) statt. Die Norm ISO 27001 regelt ausdrücklich, dass die Ziele, Richtlinien und Maßnahmen zur Informationssicherheit kontinuierlich optimiert werden müssen. Hier können Pharmafirmen auf etablierte sogenannte Corrective- And-Preventive-Action (CAPA)-Maßnahmen zurückgreifen.
Abschließend gibt es die Möglichkeit, zunächst das ISMS des Betreibers, sofern die Anforderungen nach ISO 27001 berücksichtig wurden, anhand eines standardisierten Auditverfahrens nach ISO 27001 zu zertifizieren. Zum Nachweis, dass die Maßnahmen im Sinne des B3S und der KRITIS-Anforderungen umgesetzt wurden, muss der Betreiber eine geeignete prüfende Stelle beauftragen, die für jede Anlage einen Prüfbericht mit ggf. noch bestehenden Sicherheitsmängeln erstellt. Im Anschluss reicht der KRITIS-Betreiber den Nachweis je Anlage beim BSI zur abschließenden Prüfung ein. Dieses Vorgehen wird im zweijährigen Zyklus wiederholt.
Der Initialaufwand ist in den Plan- und Do-Phasen am größten. Die Dauer bis zur Einführung eines zertifizierten ISMS hängt letztlich vom Level der Informationssicherheit im Unternehmen ab. In der Regel dauert die Implementierung mindestens 6 Monate ab Projektstart bis zur abschließenden Zertifizierung. Das liegt zum einen an der Komplexität der Prozesse und an den Besonderheiten der GxP-regulierten Pharmaindustrie. Häufig bestehen bereits geforderte Prozesse und Methoden aus Sicht der Arzneimittelgesetzgebung bzw. entsprechende Verordnungen, die mit den ISMS-Vorgaben abgeglichen werden müssen. Ist das ISMS etabliert, so durchläuft es kontinuierlich den PDCA-Zyklus, allerdings mit deutlich niedrigerem Aufwand als bei der Einführung.
Quelle: Fachveröffentlichung zum Informationssicherheitsmanagement, in TechnoPharm 12, Nr. 1 34-41 2022, Autoren: Holger Mettler (Exyte Central Europa GmbH), Markus Jans (Dekra Certification GmbH), Danilo Kurpiela, (Dekra Certification GmbH)