Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus beinhaltet in der aktuell vorliegenden Version (v1.0) eine Vorgabe im Kontext des Risikomanagements, die aufgrund ihrer Formulierung leicht zu einem Missverständnis führen kann. Aus diesem Grund möchte ich im Folgenden darauf eingehen:

• ANF-RM 8: „Ein Risikoeigentümer MUSS festgelegt werden, der die Ergebnisse der Risikoanalyse und -behandlung verantwortet sowie alle nachfolgenden Überprüfungen zu Risikoanalysen und -behandlungen durchführt.“

Das Wort "Ein" ist in diesem Fall unbedingt im Kontext der Anforderungen ANF-RM 9 und ANF-RM 14 zu betrachten: 

• ANF-RM 9: "Grundsätzlich SOLL der Verantwortliche des Informationssystems als Risikoeigentümer der Information auch die Informationsrisiken ermitteln."

• ANF-RM 14: "Für alle Informationswerte MÜSSEN einzelne Personen oder Personengruppen als Verantwortliche festgelegt werden."

Denn mit dem Wort "Informationssystem" unter ANF-RM 9, ist nicht das Informationssicherheitsmanagementsystem (ISMS) gemeint. Der Informationssicherheitsbeauftrage ist somit nicht der Risikoeigentümer aller Informationsrisiken. Eine solche Auslegung, in der der Informationssicherheitsbeauftrage der Risikoeigentümer aller Informationsrisiken ist, würde auch im direkten Widerspruch zur Vorgabe 6.1.2 c) 2) der ISO 27001 stehen, in der von einer Mehrzahl an Risikoeigentümern die Rede ist.