Heute bin ich in einem Unternehmen der Medizintechnikbranche unterwegs, um ein erstes Überwachungsaudit nach ISO/IEC 27001 durchzuführen. Als externer Auditor einer Zertifizierungsgesellschaft liegt mein Fokus auf der Informationssicherheit und den spezifischen Anforderungen dieser hochsensiblen Branche: Ich prüfe die Wirksamkeit des ISMS.
Der Audit-Tag startet mit einem Eröffnungsgespräch. Gemeinsam mit der Geschäftsleitung, dem Informationssicherheitsbeauftragten und den verantwortlichen Mitarbeitern bespreche ich den Auditplan und wichtige Themen, die im Rahmen des Audits behandelt werden. Hierbei werden Änderung wie Anzahl der Mitarbeiter und Umzug des Unternehmens im Bereich der Medizintechnik berücksichtigt.
Im weiteren Verlauf prüfe ich die zentralen Prozesse des Unternehmens. Interessant ist der Einblick in die produktionsnahen Abläufe und die speziellen Sicherheitsvorkehrungen, die zum Schutz sensibler Gesundheitsdaten implementiert wurden. Ich analysiere Prozessbeschreibungen, spreche mit den Fachkräften, berühre weitere Disziplinen wie QMS nach ISO 9001, ISO 13485, das integrierte Managementsystem und sammle Nachweise für die Umsetzung der Sicherheitsmaßnahmen.
Ein wichtiger Teil des Audits ist die Begehung der relevanten Bereiche. Gemeinsam mit den verantwortlichen Mitarbeitern inspiziere ich die Produktionsumgebung sowie die technischen Einrichtungen zur Sicherstellung der Informationssicherheit. Themen wie Zugriffskontrollen, Datenschutzmaßnahmen und die sicheren Abläufe stehen dabei im Mittelpunkt. Auch Apps, die als Schnittstelle zu medizinischen Geräten und Systemen fungieren, werden auditiert, um deren sichere Integration und Datenschutzkonformität zu gewährleisten. Besonders interessant ist hier auch das firmeneigene Studio, in dem Aufnahmen für die App erstellt werden, um Anwendern praxisnahe Inhalte zur Verfügung zu stellen.
Auch auditiere ich die offenen Punkte aus dem letzten Audit. Dabei prüfe ich, welche Maßnahmen zur Verbesserung umgesetzt wurden und wie diese zur Erhöhung der Sicherheit beitragen.
Ich danke allen Beteiligten für die konstruktive Zusammenarbeit und die detaillierten Einblicke in die anspruchsvollen Prozesse der Medizintechnikbranche. Vielen Dank.
English below 🇬🇧:
Information security audit in the field of medical technology in Erlangen
Today I am travelling to a company in the medical technology sector to carry out a first surveillance audit in accordance with ISO/IEC 27001. As an external auditor from a certification company, my focus is on information security and the specific requirements of this highly sensitive industry: I am auditing the effectiveness of the ISMS.
The audit day starts with an opening meeting. Together with the management, the information security officer and the responsible employees, I discuss the audit plan and important topics that will be covered during the audit. Changes such as the number of employees and relocation of the company in the field of medical technology are taken into account.
I then examine the company’s central processes. It is interesting to gain an insight into the production-related processes and the special security precautions that have been implemented to protect sensitive health data. I analyse process descriptions, talk to the specialists, touch on other disciplines such as QMS in accordance with ISO 9001, ISO 13485, the integrated management system and collect evidence of the implementation of security measures.
An important part of the audit is the inspection of the relevant areas. Together with the responsible employees, I inspect the production environment and the technical facilities to ensure information security. Topics such as access controls, data protection measures and secure processes take centre stage. Apps that act as an interface to medical devices and systems are also audited to ensure their secure integration and data protection compliance. Of particular interest here is the company’s own studio, where recordings are made for the app to provide users with practical content.
I also audit the open points from the last audit. In doing so, I check which improvement measures have been implemented and how they contribute to increasing safety. I would like to thank everyone involved for the constructive cooperation and the detailed insights into the demanding processes of the medical technology sector. Thank you very much.
#audit #iso27001 #suhlingtooling