Embed Size (px)
DESCRIPTION
Jan Willem Schoemaker, lid van de NEN7510 normcommissie 'Informatievoorziening in de zorg', vertelt tijdens de Tools4ever zorgdag 2012 over de nieuwste criteria in de laatste versie van NEN 7510. Daarbij spelen met name het toepassen van een managementsysteem en het periodiek uitvoeren van een risicoanalyse een veel belangrijkere rol dan in de vorige versie van NEN7510. Wat voor consequenties heeft dat voor uw zorginstelling en hoe ga je daar mee om?
Citation preview
Toelichting NEN7510 1
7 juni 2012
Toelichting NEN 7510
Drs. J.W.R. Schoemaker CISSP, Lid NEN normcommissie Informatievoorziening in de zorg
Toelichting NEN 7510 2
Inhoud
• Toelichting informatiebeveiliging
• Toelichting NEN 7510 • Wat is nieuw in NEN 7510?
• Afsluiting
Toelichting NEN 7510 3
Toelichting NEN 7510 4
Toelichting NEN 7510 5
Toelichting informatiebeveiliging
Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf.
Toelichting NEN 7510 6
Toelichting NEN 7510
Identificatie en authenticatie
Autorisatie
Role based Access control
Toelichting NEN 7510 7
Waarom informatiebeveiliging?
• Patiëntveiligheid
• Beschikbaarheid, integriteit, vertrouwelijkheid
• Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg)
• Wet- en regelgeving (WGBO, WBP, NEN 7510)
• Voorkoming van (financiële) schade
• Bescherming van het imago van de organisatie
Toelichting NEN 7510 8
Historie NEN 7510
• 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector
• 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor
Informatiebeveiliging’ • Doel: handvat bieden voor implementatie
informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en
risicoanalyse
Toelichting NEN 7510 9
Kenmerken NEN 7510
• Combinatie van: – Organisatorische maatregelen – Technische maatregelen – Fysieke maatregelen
• Gericht op: – Bedrijfsprocessen – Informatievoorziening – Infomatietechnologie – Geautomatiseerd en niet-geautomatiseerd
Toelichting NEN 7510 10
Risicoanalyse
• Kritieke bedrijfsprocessen/ -middelen
• Bedreigingen • Kwetsbaarheden • Huidige kwaliteitsniveau
maatregelen • Beoordeling • Conclusies • Aanbevelingen =>
risicobehandeling
Nee
Ja
Risicoanalyse
Bepaal de waarde van de informatiemiddelen en
afhankelijkheden ertussen Bepaal de
bedreigingen Bepaal de
kwetsbaarheden
Inventariseer de bestaande en
geplande maatregelen
Beoordeel de risico’s
Inventariseer de informatiemiddelen
Kies de maatregelen
Restrisico aanvaarden?
Informatiebeveiligingsplan
Informatiebeveilligingsbeleid
Bepaal af te dekken risico’s
Toelichting NEN 7510 11
Managementsysteem (ISMS)
Interested
Parties
Managed
security
Information
security
requirements
and expectations
Interested
Parties
Plan
Do
Check
Act
Monitor and
review the ISMS
Monitor and
review the ISMS
Implement and
operate the ISMS
Implement and
operate the ISMS Maintain and
improve the ISMS
Maintain and
improve the ISMS
Establish
ISMS
Establish
ISMS Belang- hebbenden
Beheerde informatie- beveiliging
Belang- hebbenden
Plan
Do
Check
Act
Monitor and
ISMS
Het ISMS bewaken en beoordelen
Implement and
operate the ISMS
Het ISMS implemen- teren en uitvoeren Maintain and
Het ISMS bijhouden en verbeteren
Establish
ISMS
Het ISMS vaststellen
Eisen en verwachtingen t.a.v. informatie- beveiliging
Toelichting NEN 7510 12
Inhoud NEN 7510 • Beveiligingsbeleid • Organisatie van informatiebeveiliging • Beheer van bedrijfsmiddelen • Personeel • Fysieke beveiliging en beveiliging van de omgeving • Beheer van communicatie- en bedieningsprocessen • Toegangsbeveiliging • Verwerving, ontwikkeling en onderhoud van informatiesystemen • Beheer van informatiebeveiligingsincidenten • Bedrijfscontinuïteitsbeheer • Naleving
Toelichting NEN 7510 13
Nieuw in NEN 7510?
• Nieuwe indeling
• Aandachtspunten en aanbevelingen voor implementatie
• Specifieke beheersmaatregelen voor de zorgsector
Toelichting NEN 7510 14
Nieuw in NEN 7510?
• Contact met specifieke belangengroepen • Beveiliging in omgang met klanten • Aanvaardbaar gebruik van bedrijfsmiddelen • Maatregelen tegen ‘mobile code’ • E-commerce / online transacties • Logbestanden administrators / operators • Authenticatie gebruikers externe verbindingen
Toelichting NEN 7510 15
Nieuw in NEN 7510?
• Meer aandacht voor toegangsbeveiliging (‘Identity & Access Management’), o.a. tweefactor authenticatie bij toegang tot patiëntgegevens
• Sleutelbeheer (encryptie) • Beheer van technische kwetsbaarheden
Toelichting NEN 7510 16
Consequenties zorginstelling
• Niet klakkeloos beheersmaatregelen invoeren, maar: – Risicoanalyse (generiek en specifiek) – Invoeren ISMS – Aandacht besteden aan nieuwe
beheersmaatregelen (waar nodig)
• Tip: gebruik het Praktijkboek NEN 7510!
Toelichting NEN 7510 17
Afsluiting
? ?
? ? ? ?
?
?
