NEN 7510 informatiebeveiliging in de zorg
Stappenplan NEN 7510 certificering
Nulmeting: waar staan we nu?
Elk project start met een nulmeting. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat
nodig is om aan de eisen van NEN 7510 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel
elementen van de NEN 7510 goed hebben geregeld.
Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en
het begrijpen welke maatregelen hiervoor nodig zijn.
Risico-analyse informatiebeveiliging
- De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze
goed wordt uitgevoerd. - Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid.
- Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
- Criteria bepalen voor het accepteren van het risico.
Risico’s evalueren.
De risico-analyse wordt uitgevoerd conform ISO 31000 en ISO 27005. Deze normen geven richtlijnen om
het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich
bewust van de risico’s en inzicht in prioriteiten van diverse beheersmaatregelen die nodig zijn.
ISMS opzetten
Het ISMS voorziet in een pakket van beheersmaatregelen die uit de risico-analyse naar voren zijn
gekomen.
Het ontwerp wordt op maat gemaakt en bevat onder andere de volgende elementen:
- Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie)
- Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van
apparatuur, omgang met usb/telefoon/tablets/laptop) - Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates)
- Beveiliging van gegevens (bijv. clear desk & clear screen, gebruikersrechten)
- Communicatie en medewerkersbewustzijn (bijv. introductie, beleid/reglement)
Het resultaat is een systeem dat aansluit bij de huidige praktijk en risico’s. In het systeem is de
PDCA-cyclus geïntegreerd. Het handboek informatiebeveiliging kan desgewenst digitaal voor alle
medewerkers beschikbaar worden gemaakt.
TotalVue de Virtuele digitale audit catalogus
TotalPrevent maakt gebruik van een uniek ontwikkeld en ingerichte virtuele audit catalogus. Deze catalogus is gebouwd op de risico analyse tool de BowTie. Dit stelt TotalPrevent in staat om zeer efficiënt de organisatie op bovenstaande indicatoren te auditeren. In deze virtuele auditcatalogus zijn meer dan 2000 gevalideerde vragen opgenomen. TotalVue navigeert door de auditprocessen van planning tot de uiteindelijke rapportage en bewijsstukken. Door gebruik te maken van TotalVue kan men het audit proces versnellen en stroomlijnen. Een interessant onderdeel van TotalVue is dat men de opgebouwde kennis uit het verleden kan gebruiken bij toekomstige audits. Hierdoor kan men Audits in TotalVue vergelijken in een fractie van de tijd in vergelijking met andere tools. Door het bewaren en hergebruiken van Audits kan men trendanalyses uitvoeren over verschillende jaren en audits.
Implementatie en training
Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf. Dit proces
wordt door TotalPrevent begeleid. Om de implementatie te bespoedigen kan TotalPrevent
trainingen verzorgen gericht op het vergroten van inzicht in informatiebeveiliging en bewustwording.
Verklaring van toepasselijkheid
De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door
het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificering en
mede bedoeld voor externe communicatiedoeleinden.
Interne audit en verbeterproces
Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd wordt de PDCA-cyclus
gecontinueerd door het uitvoeren van interne audits. Op basis van de interne audits kunnen
aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen
met het risicomanagement de input voor de managementreview.
Certificeringsaudit
TotalPrevent organiseert de externe audit NEN 7510. Wij begeleiden de certificeringsaudit en
bewaken dat deze goed verloopt. Resultaat is het NEN 7510 certificaat.
Ik hoor graag van u, Suc6 Raymond Lenz TotalPrevent
Plaats een Reactie
Meepraten?Draag gerust bij!