Roadmap NEN 7510 en ISO 27001

Was het begin dit jaar nog een goed voornemen, inmiddels zijn we hard op weg om onze certificering Informatiebeveiliging conform NEN 7510 en ISO 27001 binnen te halen. Want wanneer alles volgens planning verloopt, verwachten we in december onze certificering te verkrijgen! Hoe we zo ver gekomen zijn, leggen we graag in het kort uit.

De weg naar certificering is namelijk boeiend en leerzaam. De uitdaging is een juiste en praktische werkwijze te vinden mét continue borging van de informatieveiligheid. We willen geen papieren tijger, maar wel de juiste documentatie voor de vastlegging van ons beleid. We hebben gekozen voor een drieluik van documenten namelijk; informatiebeveiligingsbeleid, een bedrijfsreglement en een continuïteitsplan.

Informatiebeveiligingsbeleid

In de eerste fase hebben we onze algemene beleidsuitgangspunten over de informatiebeveiliging vastgelegd. In dit document is een aanzienlijk aantal onderwerpen nader uitgewerkt en zijn beveiligingseisen en -maatregelen opgenomen. De behandelde onderwerpen zijn onder andere:

  • Plan van aanpak informatiebeveiligingsbeleid
  • Procedure voor identificatie van eisen (wet- en regelgeving)
  • Document toepassingsgebied ISMS (Information Security Management System)
  • Rolbeschrijvingen binnen de informatiebeveiliging
  • Aandachtspunten en maatregelen informatiebeveiliging
  • Eisen fysieke en virtuele beveiliging
  • Risicoanalyse bovenstaande
  • Agendering cyclus PDCA (plan-do-check-act)

Gedragsregels en procedures

In de tweede fase hebben wij ons op ons (menselijk) handelen gericht.  Deze speelt natuurlijk een grote en cruciale rol bij de informatiebeveiliging. Het bepalen en vastleggen van de spelregels en ons bewustzijn daarbij is van groot belang. We hebben het afgelopen jaar diverse trainingen gevolgd met betrekking tot AVG/datalekken, onze werkwijze bij het verwerken van accountmutaties en hoe wij onze werkzaamheden het beste kunnen registreren. Daarnaast hebben we getoetst of onze geheimhoudingsverklaring volstaat () én of wij ook officieel te vertrouwen zijn; screening personeel / VOG – Verklaring omtrent gedrag (). Onze spelregels hebben we vastgelegd in een bedrijfsreglement. In dit reglement worden o.a. de volgende onderwerpen behandeld:

  • Gedragsregels en procedures
  • Gebruik bedrijfsmiddelen
  • Classificatie van gegevens
  • Accountmutaties en autorisaties interne medewerkers
  • Accountmutaties en autorisaties vanuit klant perspectief
  • Meldingenbeheer (beheersing van documenten en registraties)
  • Datalekken en AVG
  • Clean desk en cryptografische maatregelen

Continuïteitsplan

In de derde en laatste fase hebben wij ons op het continuïteitsplan gericht. De organisatie en techniek is bij uitvoering van informatiebeveiliging vanzelfsprekend van groot belang. We moeten natuurlijk wel de juiste middelen hebben om onze diensten veilig te leveren. De organisatie en middelen staan beschreven in ons continuïteitsplan. Dit is een continu en cyclisch proces. Het proces van continuïteitsbeheer start met het bepalen van de vitale bedrijfsprocessen en het stellen van continuïteitseisen hieraan. Hierbij worden ook de bedreigingen benoemd. Aan de hand van de “CommITment-piramide” worden per niveau maatregelen ter voorkoming benoemd. In dit model worden verschillende technische lagen benoemd waarbij de diensten in een samenhangend perspectief wordt geplaatst. Tot slot hebben we een calamiteitenplan opgesteld voor het geval dat.

Laatste puntjes op de i

Om het certificeringsproces af te ronden, zijn we nu met de laatste puntjes op de i bezig. En zoals eerder gezegd, wanneer alles volgens plan verloopt, verwachten we in december onze NEN 7510 en ISO 27001 certificering te ontvangen. Wordt vervolgd …

Meer weten over NEN 7510 en ISO 27001?

Wilt u meer weten over NEN 7510 en ISO 27001, het certificeringsproces en wat wij voor uw organisatie kunnen betekenen, neem dan contact op met Harrie Bolt op nummer 030-2760349.

Wat is de NEN 7510 en ISO 27001?

Een ISO 27001 certificering maakt aantoonbaar dat de informatieprocessen continu beheerst worden en dat de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische informatie wordt geborgd. ISO 27001 informatiebeveiliging draagt zorg voor continue verbetering van uw organisatie en biedt zekerheid en vertrouwen voor uw opdrachtgevers.

De NEN 7510 is een afgeleide van de ISO 27001. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. NEN 7510 is ook van toepassing op (toe) leveranciers die te maken hebben met patiëntgegevens en andere beheerders van persoonlijke gezondheidsinformatie.

ISO 27001 en AVG
De Algemene Verordening Gegevensbescherming AVG is een Europese wet waar organisaties per 25 mei 2018 aan moeten voldoen. Veel onderwerpen in de AVG kunnen worden geborgd in een informatiebeveiligingssysteem (ISMS) op basis van ISO 27001 informatiebeveiliging.

Share This