In januari hebben we het al in ons blog “CommITment’s goede voornemens 2019” aangekondigd. CommITment wordt NEN7510 en ISO 27001 gecertificeerd. Maar voordat het zo ver is, moeten we nog wel eerst een aantal stappen doorlopen. De eerste stap, de nulmeting, hebben we inmiddels gezet. Graag leggen wij in het kort uit waar we dit jaar verder mee aan de slag gaan om onze certificering te behalen. Maar laten we beginnen uit te leggen waarvoor en voor wie de NEN7510 en ISO 27001 is bedoeld.
Certificering NEN7510 en ISO 27001
De NEN 7510 geldt zowel voor zorginstellingen als voor (toe) leveranciers die te maken hebben met patiëntgegevens en andere beheerders van persoonlijke gezondheidsinformatie. Wanneer (toe)leveranciers andersoortige informatie verwerken, zoals financiële gegevens, persoonsgegevens of andere bedrijfsvertrouwelijke gegevens, dan is certificeren volgens de ISO 27001 al voldoende.
NEN 7510 en ISO 27001 zijn dus beide normen voor informatiebeveiliging. Het soort informatie dat een organisatie of instelling verwerkt bepaalt de reikwijdte van certificatie. NEN 7510 legt de focus volledig op patiëntgegevens, terwijl ISO 27001 de focus legt op de informatie die een organisatie aanmerkt als waardevol. Dit is het verschil tussen NEN7510 en ISO 27001.
Als niet zorginstelling hebben wij drie opties:
1. ISO 27001 certificering: Als er voornamelijk voor organisaties buiten de zorg wordt gewerkt;
2. NEN 7510 certificering: Als de focus van de organisatie ligt op de zorgbranche;
3. ISO 27001 & NEN 7510 certificering: Als informatiebeveiliging aangetoond moet worden aan organisaties
buiten de zorgsector, maar ook met zorgklanten wordt gewerkt;
Als CommITment kiezen wij voor optie 3 en gaan wij ons voor beide normeringen te certificeren. Een bewuste keuze richting onze zorgklanten maar ook richting onze opdrachtgevers in andere branches waar wij zorg dragen voor hun informatiebeveiliging.
Lees meer over Certificering NEN7510 (Nederlandse Norm)
De NEN 7510 norm bestaat uit twee delen; de NEN 7510-1 en de NEN 7510-2. Omdat de overheid het belangrijk vindt aandacht te besteden aan gegevensbescherming in de zorg, is de norm gratis verkrijgbaar. Deel 1 (normatief) beslaat alles dat gaat over het managementsysteem en deel 2 (informatief) bevat de beheersmaatregelen die u kunt nemen om de risico’s te beperken en aan de eisen te voldoen.
Samenvatting van de eisen uit NEN7510
- De context van de organisatie bepalen. Denk aan de eisen en verwachtingen van in- en externe belanghebbenden (stakeholders), wetgeving, externe ontwikkelen en specifieke interne issues die in de organisatie spelen.
- De scope van het informatiebeveiligingsmanagementsysteem moet duidelijk zijn vastgesteld.
- De directie moet leiderschap tonen door het informatiebeveiligingsbeleid vast te stellen, rollen en verantwoordelijkheden te verdelen, middelen ter beschikking te stellen en betrokkenheid te tonen.
- Risico’s en kansen moeten voor de organisatie worden vastgesteld. Ook moeten de noodzakelijke maatregelen worden bepaald, gepland en geïmplementeerd. Voor de risicoanalyse moet een procedure zijn vastgesteld, zodat toekomstige risicoanalyses gelijkwaardige resultaten opleveren. Ook zijn de uitkomsten van de risicoanalyse input voor Verklaring van toepasselijkheid.
- De beheersdoelen en maatregelen uit Bijlage A van de normen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard en waar vereist gedocumenteerd en geïmplementeerd. Dit is een belangrijk aspect van de NEN 7510 certificering.
- Ondersteunende processen met betrekking tot o.a. bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie moeten worden bepaald en ingevoerd.
- Het primaire proces moet voorzien in producten en diensten rekening houdend met de voorgaande onderwerpen.
- Meting en monitoring, o.a. via het meten van informatiebeveiligingsdoelen en KPI’s, incidenten, meten van informatiebeveiligingsprocessen, uitvoeren van interne audits
- Evaluaties, zoals de directiebeoordeling, effectiviteit van maatregelen uit de appendix/risicobeoordeling en geleverde informatiebeveiligingsprestaties.
- Leren van fouten, klachten, afwijkingen en treffen van corrigerende maatregelen.
- Realiseren van verbeteringen.
Procedures
- Nulmeting
- Vastlegging planning project en opstellen verplichte documentatie
- Risicoanalyse uitvoeren
- Maatregelen opstellen (naar aanleiding van bijlage A)
- Training medewerkers Implementatie van maatregelen
- Interne audit (is informatiebeveiligingssysteem goed ingevoerd en voldoet het aan de NEN 7510 norm, wetgeving, klanteisen en/of eisen van uw organisatie)
- Directiebeoordeling (beoordeling van de effectieve werking van het informatiebeveiligingssysteem en het in kaart brengen van verbetermogelijkheden en risico’s)
- Externe audit en certificering
Lees meer over Certificering ISO 27001 (Wereldwijde norm)
De officiële naam van de standaard is ISO / IEC 27001: de standaard is onderdeel van de 27000-serie over informatiebeveiliging.
Er liggen twee belangrijke principes ten grondslag aan ISO 27001: risico-management en plan-do-check-act. Het eerste idee, risico-management, gaat ervan uit dat elke security-maatregel gekoppeld moet zijn aan een concreet risico. Op deze manier wordt ervoor gezorgd dat ook daadwerkelijk de zwakste schakel verbeterd wordt: je moet weten wat de risico’s zijn om vervolgens maatregelen te kunnen nemen gericht op de grootste risico’s. Voor meer informatie, zie deze Engelstalige artikelen over asset inventory en risk management.
Het tweede idee is plan-do-check-act. Plan-do-check-act oftewel PDCA is een methode voor continu verbetering, afkomstig uit de maak-industrie. In deze methode staat het check of maatregelen wel effectief zijn centraal. Dit is ook erg belangrijk in informatiebeveiliging.
Samenvatting van de eisen uit ISO 27001
- Context van de organisatie
- Overzicht van belanghebbenden van de organisatie (klanten, aandeelhouders, toezichthouders)
- De scope van het ISMS
- Betrokkenheid van het de leiding
- Een beleidsdocument informatiebeveiliging
- Rollen en verantwoordelijkheden
- Bepalen van kansen en risico’s
- Een proces voor risico-inventarisatie en het behandelen van risico’s. Een onderdeel hiervan is het statement of applicability, een lijst van best practice maatregelen.
- Het zetten van meetbare doelen
- Voldoende middelen voor het ISMS
- Voldoende training en kennis bij het information security team
- Bewustzijn bij alle medewerkers in scope Communicatieplan voor interne en externe communicatie over informatiebeveiliging
- Documentatie van het ISMS inclusief omvang, complexiteit, kennis van mensen. Het moet regelmatig worden bijgewerkt en ook gecontroleerd beschikbaar zijn
- Het plannen en controleren van operationele aspecten
- Het regelmatig en gepland uitvoeren van risico-analyses
- Implementatie van het risico-behandelplan
- Monitoren van de effectiviteit van het ISMS aan de hand van gestelde doelen
- Plannen en uitvoeren van interne audits
- Plannen en uitvoeren van directie-beoordelingen (management reviews)
- Het reageren door de directie bij afwijkingen.
- Zorgen voor continu verbetering
Procedures
- Nulmeting
- Risicoanalyse informatiebeveiliging
- ISMS (Information Security Management System) opzetten
- Implementatie en training
- Verklaring van toepasselijkheid
- Interne audit en verbeterproces
- Certificeringsaudit
Nulmeting
Onlangs heeft het adviesbureau dat ons ondersteunt bij het certificeringsproces een nulmeting afgenomen. Bij deze nulmeting zijn al onze processen aan de hand van de auditlijst van de NEN7510 onder de loep genomen. De NEN7510 auditlijst kent 46 richtlijnen meer dan ISO 27001 en vormt daarom voor ons de basis.
Inhoud nulmeting
Bij de nulmeting is vanuit verschillende invalshoeken naar onze organisatie gekeken. Deze invalshoeken zijn grofweg in drie categorieën in te delen:
- Personeel;
- Hard- en software;
- Processen en procedures.
1. Personeel
Voor wat betreft het personele aspect wordt het gehele speelveld van instroom (werving nieuw personeel) tot uitstroom (uitdiensttreding) beoordeeld. Hierbij wordt er o.a. gekeken naar de screening van het personeel bij aanname, taken en verantwoordelijkheden en de daarbij horende (toegangs)rechten en (geheimhoudings)plichten en alle documentatie die hierover is vastgelegd.
2. Hard- en software
Bij de hard- en software wordt er o.a. gekeken naar (fysieke) bescherming van apparatuur, daarop geïnstalleerde toepassingen, authenticatie en autorisatie tot applicaties, het gebruik van mobile devices en de beveiliging van data op deze devices en alle ondersteunen hard- en software componenten in het netwerk.
3. Processen en procedures
Het onderlinge samenspel van de eerste twee invalshoeken, personeel en hard- en software, wordt beoordeeld bij de processen en procedures. Enerzijds gericht op welke processen en procedures er aanwezig zijn om de informatiebeveiliging te garanderen en anderzijds gericht op de mate waarop dit formeel op papier is vastgelegd, verantwoordelijke personen zijn aangewezen en of dit op regelmatige basis wordt ge-audit.
Uitkomst nulmeting
Hoewel er nog veel moet gebeuren, zijn we zeer tevreden met de uitkomst van de nulmeting. De uitkomst komt er in het kort op neer dat we IT-technisch ons mannetje staan en daar de goede dingen goed doen. En dat is mooi! Wat beter kan, en ook moet (om onze certificering te behalen), is datgene beter te beschrijven wat we in de praktijk al doen en in onze IT-systemen al hebben ingericht. Met andere woorden, we moeten doorgaan met het leveren van de kwaliteit die we leveren en onze processen en procedures beter documenteren.
Pragmatisch werken
De uitdaging in het hele certificeringsproces ligt voor ons in het behouden van onze pragmatische manier van werken, zonder daarbij afbreuk te doen aan de eisen die aan ons worden gesteld voor de NEN7510 en ISO 27001 certificering. Onze opdrachtgevers zijn erg blij met onze pragmatische en persoonlijke manier van werken en dat willen we graag zo houden.
Hoe nu verder?
De komende tijd gaan wij ons richten op de volgende stap, het aanpassen, bij- en opstellen van de met het adviesbureau besproken beleidsdocumenten zoals:
- Informatiebeveiligingsbeleid
- Plan van aanpak informatiebeveiligingsbeleid (procedures) en planning bijwerken
- Overzicht aandachtpunten en maatregelen informatiebeveiliging
- Classificatie van (gezondheids)informatie
- Beveiliging van gezondheidsinformatie
- Rolbeschrijvingen binnen de informatiebeveiliging
- Richtlijn personeel screening
- Gedragsregels en procedures
- Processen en checklijsten mutaties
- Processen en checklijsten vertrek medewerkers
- Eisen fysieke en virtuele beveiliging
- Communicatieplan
- Continuïteitsplan
- Calamiteitenplan
- Proces incidenten en het beheer daarvan
- Toegangsverlening externen
Veel van de bovenstaande beleidsdocumenten zijn al dagelijkse praktijk voor ons en is in veel gevallen ook al ingericht in onze systemen. Nu gaan we nog een stapje verder … Wordt vervolgd.
Meer weten?
Wilt u meer weten over het certificeringsproces waar we mee bezig zijn, neemt u dan contact op met Harrie Bolt op nummer 030-2760349.