Die wichtigsten normativen Grundlagen für die Akkreditierung eines Laboratorium sind die beiden Normen ISO 17025 für Prüf- und Kalibrierlaboratorien bzw. die ISO 15189 für medizinische (humandiagnostische) Laboratorien. Zu einem der Grundprinzipien der Akkreditierung gehört neben dem unparteilichen Handeln und einer einheitlichen Arbeitsweise die Vertraulichkeit. Im Zuge der Vertraulichkeit, Integrität, Verfügbarkeit und Unversehrtheit der Daten gewinnt zudem der Betrieb eines Informations-Sicherheits-Management-Systems (ISMS) nach ISO 27001 oder TISAX (im Bereich Automotive) zunehmend an Bedeutung. Wir haben das Thema Vertraulichkeit im Labor im Rahmen des Dokument- und Informationsmanagements vor dem Hintergrund der Anforderungen aus der ISO 27001 bzw. TISAX beleuchtet und setzen dies in den Kontext mit der Umsetzung in unserem digitalen Managementsystem AUDITTRAILS-17025 bzw. AUDITTRAILS-15189.
Doch der Reihe nach:
Was hat die ISO 17025 bzw. ISO 15189 mit Informationssicherheit zu tun?
Im Unterkapitel 4.2.1 des Kapitel 4.1 Vertraulichkeit der DIN EN ISO 17025:2018 heißt es da beispielsweise:
Das Laboratorium muss die Verantwortung für die Handhabung aller Informationen tragen, die während der Durchführung der Labortätigkeiten erhalten oder erstellt wurden …..
gekürzter, sinnhafter Wortlaut aus der DIN EN ISO/IEC 17025:2018
…. Informationen werden als geschützte Informationen angesehen und müssen als vertraulich behandelt werden, es sei denn, zwischen dem Laboratorium und dem Kunden wurde etwas anderes vereinbart.
Weiterin findet sich im Kapitel 7.11 Lenkung von Daten und Informationsmanagement folgender Hinweis:
Das Informationsmanagementsystem des Laboratoriums muss vor unbefugtem Zugriff geschützt sein, in einer Weise aufrechterhalten werden, die die Unversehrtheit der Daten und Informationen sicherstellt und so aufrechterhalten werden, dass die Unversehrtheit der Informationen sichergestellt und die die Aufzeichnung von Systemausfällen sowie die angemessenen Sofort und Korrekturmaßnahmen mit eingeschlossen sind.
gekürzter, sinnhafter Wortlaut aus der DIN EN ISO/IEC 17025:2018
Im korrespondierenden Kapitel der ISO 15189 wird zum Thema Informationssicherheit erstmals auf die Maßnahmen, Strategien und Best Practices zur Gewährleistung der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in der ISO/IEC 27001:2022, Anhang A verwiesen.
Im Zuge der digitalen Transformation sehen wir zudem einen wachsenden Trend zur Verlagerung der Information und Daten in die Cloud und wir sehen einen Trend, der weg von IT-Systemen, die „on-premise“ („im eigenen Haus auf eigenen Servern“) gehostet werden, hin zur „Software-as-a-Service“ und der damit verbundenen „Security-by-design“ gehen. Denn Informationssicherheit wird immer wichtiger. Gerade im Umfeld der Laboratorien in der Automobilbranche spielt die ISO 27001 und TISAX eine große Rolle. Ein TISAX Assessment ist in der Automobilbranche Pflicht. Bei KRITIS Labordienstleistern (Labordienstleister in kritischer Infratsruktur) ist der Betrieb eines ISMS (Informations-Sicherheits-Management-System) seit Jahren verpflichtend.
Was heißt das im Bezug auf das Dokumentmanagement im Labor?
Öffentlich, intern, vertraulich, streng vertraulich: Was versteht man unter Informationsklassifizierung und wie kann man Zugänge zu Informationen steuern?
Wirft man einen Blick in den Anhang A der ISO 27001 – der in der neuen Fassung der ISO 15189 von 2022 angemerkt wird, so finden sich dort drei wichtige Anforderungen und dem Punkt A.8.2 das Schutzziel:
Es ist sichergestellt, dass die Informationen ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erthält.
DIN EN ISO/IEC 27001:2017 Anhang A – A.8.2
Als Maßnahme dazu empfiehlt die Norm
- Klassifizierung von Informationen
Die Information ist anhand gesetzlicher Anforderungen, ihres Wertes, ihrer Kritikalität und der Empfindlichkeit gegenüber Offenlegung oder Veränderung klassifiziert. - Kennzeichnung von Informationen
Die Organisation hat ein Informationsklassifizierungsschema entwickelt und setzt dies um. Informationen werden gekennzeichnet. - Handhabung von Werten
Die Organisation hat festgelegt, wie sie entlang des Informationsklassifizierungsschemas Werte handhabt (z.B. Austausch gekennzeichneter Informationen per Mail, Speicherung in der Cloud, Speicherung auf mobilen Datenträgern etc.)
Sie können sich vorstellen, dass der Aufbau eines Dokument- und Informationsmanagementsystems – je mehr wir uns mit den Anforderungen an Informationssicherheit, Vertraulichkeit, Integrität, Unversehrtheit und Verfügbarkeit auseinandersetzen – sich zukünftig immer komplexer gestaltet.
Aus diesem Grund beschäftigen wir uns bei der AUDITTRAILS Networks GmbH seit Jahren nicht nur mit den aktuellen, sondern auch mit den zukünftigen Herausforderungen der Laboratorien und setzen Lösungen dafür mittels unseres Software-Frameworks AUDITTRAILS-17025 bzw. AUDITTRAILS-15189 um. Sie bekommen so wertvolle Lösungen an die Hand, die normkonform sind, und für die kein aufwändiges, internes IT-Projekt nötig ist.
Das Klassifikationsschema, das wir im Rahmen des Dokumentmanagements nutzen ist einfach verständlich, „out-of-the-box“ nutzbar und deckt sich mit gängigen Klassifikationsschemata, wie z.B. die aus dem Whitepaper des VDA „Harmonisierung von Klassifizierungsstufen“ mit dem Schutzziel „Vertraulichkeit“.
Dokumente, die mit AUDITTRAILS gemanagt werden, werden wie folgt klassifiziert und automatisiert gekennzeichnet:
Öffentlich
Öffentliche Dokumente sind grundsätzlich von jedem Mitarbeiter einsehbar.
Sofern der Mitarbeiter als Teil der Zielgruppe des Dokumentes festgelegt ist, bekommt er das Dokument in seinen persönlichen Dokumentspeicher verteilt.
Nur festgelegte Bearbeiter dürfen das Dokument bearbeiten.
Prüfende und Freigebende werden namentlich genannt.
Für die Offenlegung/Verteilung der Information gibt es keine Restriktionen.
Intern
Interne Dokumente sind grundsätzlich von jedem Mitarbeiter einsehbar.
Sofern der Mitarbeiter als Teil der Zielgruppe des Dokumentes festgelegt ist, bekommt er das Dokument in seinen persönlichen Dokumentspeicher verteilt.
Nur festgelegte Bearbeiter dürfen das Dokument bearbeiten.
Prüfende und Freigebende werden namentlich genannt.
Für die Offenlegung/Verteilung der Information gibt es Restriktionen.
Vertraulich
Vertrauliche Dokumente sind grundsätzlich nur von der Zielgruppe einsehbar.
Sofern der Mitarbeiter als Teil der Zielgruppe des Dokumentes festgelegt ist, bekommt er das Dokument in seinen persönlichen Dokumentspeicher verteilt.
Nur festgelegte Bearbeiter dürfen das Dokument bearbeiten.
Prüfende und Freigebende werden namentlich genannt.
Für die Offenlegung/Verteilung der Information gibt es strenge Restriktionen.
Streng vertraulich
Streng vertrauliche Dokumente sind nur von genannten Mitarbeitern einsehbar.
Sofern der Mitarbeiter Ersteller, Eigner, Prüfe, Freigeber oder betroffene Person ist, bekommt er das Dokument in seinen persönlichen Dokumentspeicher verteilt.
Nur festgelegte Bearbeiter dürfen das Dokument bearbeiten.
Prüfende und Freigebende werden namentlich genannt.
Für die Offenlegung/Verteilung der Information gibt es sehr strenge Restriktionen.
Die Zuordnung von Zielgruppe, Bearbeitende, Eigner, Prüfende und Freigebende geschieht über den Objekt-Datensatz des Dokumentes. So kann jedes einzelne Dokument vom zuständigen Bearbeiter individuell in seinen Vertraulichkeitsstufen, Zugangsrechten, Bearbeitungsrechten, Prüf- und Freigabeverfahren und im Hinblick auf die Dokumentverteilung konfiguriert werden.
Erfüllung der Anforderungen an Dokumentlenkung, sowie Sicherstellung von Informationssicherheit, Vertraulichkeit, Integrität, Unversehrtheit und Verfügbarkeit!
Zudem stellt das Dokument- und Informationsmanagement in AUDITTRAILS-17025 bzw. AUDITTRAIL-15189 sicher, dass Dokumente ab dem Zeitpunkt der Erstellung vollständig einem Änderungsdienst unterliegen und jede Änderung nur durch befugte Bearbeiter durchgeführt und versioniert wird. Änderungen sind so stetig nachvollziehbar – gültige Dokumentstände sind sofort erkennbar. Die Daten und Informationen sind schnell für jeden Verfügbar, der für den Erhalt der Information bestimmt ist. Frühere Versionen sind jederzeit abrufbar.
Der gesamte Inhalt der AUDITTRAILS-17025 bzw. AUDITTRAILS-15189 Datenbanken unterliegt einer täglichen, georedundanten Sicherung an unterschiedlichen Speicherorten in Deutschland. Die Sicherungen sind insofern gegen Zugriff gesichert, als das die Daten dort ebenfalls verschlüsselt vorliegen und im Falle eines Datenverlustes nur von benannten Administratoren wiederhergestellt werden können. Ein Zugriff von extern ist unmöglich. Durch regelmäßige Recovery-Tests wird der Sicherheitsvorfall regelmäßig „geprobt“. Periodische Penetrationstests durch Informationssicherheitsexperten stellen sicher, dass im Betrieb keine Sicherheitslücken auftreten.
Damit sind in Ihrem Laboratorium nicht nur die Anforderungen der ISO 17025 und ISO 15189 in Bezug auch Vertraulichkeit und Dokumentlenkung erfüllt, sondern auch relevante Anforderungen an Ihre Informationssicherheit im Betrieb eines ISMS.