NEN 7510 in de Zorg, verplicht ?!?
NEN7510, of preciezer NEN 7510-1:2017 en NEN 7510-2:2017 is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2017 (de internationale norm). De gezondheidszorg als ziekenhuizen en andere zorginstellingen, gaat om met patientgegevens en andere vertrouwelijke persoonsinformatie en dient van overheidswege te voldoen aan deze NEN7510-norm. De NEN7510 specificeert eisen voor een managementsysteem voor informatiebeveiliging en dan specifiek voor de Nederlandse gezondheidszorg. Zo'n managementsysteem wordt ook wel ISMS - Information Security Management System genoemd.
De norm NEN7510 kent 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2013, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen (vergelijkbaar met ISO 27001:2013, Annex A).
Om snel een adequaat managementsysteem te hebben, is een geschikt managementsysteem platform onmisbaar. En vul deze vervolgens met voorbeeld documentatie om geen onnodige tijd te verliezen bij het opzetten van het eigen managementsysteem.
We bespreken wat aandachtspunten.
Let op: De NEN 7510 gaat veranderen. Een concept NEN7510:2024 is al gepubliceerd! omdat de ISO 27001 is veranderd! ISO27001:2022. Onze collega's van Meta-audit.nl weten meer of bekijk ons ISO 27001:2022 control framework.
Verplichte documenten
De NEN7510 kent een aantal verplichte documenten, zoals aangegeven in onderstaand overzicht. De meeste documenten moeten een onderdeel van het ISMS (Information Security Management System) zijn. Veelal is het vaststelling van beleid, zijn het procedures of is het een beschrijving van de gehanteerde methode. Daarnaast zijn er verplichte registraties, belangrijk om aan te tonen dat het ISMS goed werkt.
Voorbeelden - vragen
Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten (als checklist), staan in het voorbeeld managementsysteem, ISMS - Information Security Management System: demo ISMS NEN 7510.
In samenwerking met onze collega's van meta-audit.nl leveren we bij een jaarabonnement van het managementsysteem platform (min. Proware + Infoware Brons) certificeerbare voorbeeld documentatie incl. MAPGOOD-risico's conform ISO27001 of NEN7510 erbij. Klik hier voor een uitleg hoe ze dit aanpakken.
ISMS
Zelf proberen om te zien hoe alles werkt bij een ISMS in een managementsysteem platform? Voor alle documenten, risico's, registraties en meldingen. Zet in 60 seconden het managementsysteem platform op proef klaar, simpele en innovatieve software voor het eigen managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld ISMS, conform NEN7510:2017 natuurlijk.
Eerst zien, bekijk dan onze video en demo’s op de productpagina of het managementsysteem concept.
Hieronder staat een overzicht (checklist) met een verwijzing naar het relevante norm-onderdeel.
Let op 1: de NEN 7510 - II heeft 36 verschillen met de ISO 27001. (Vraag anders een lijstje bij onze collega's van Meta-audit.nl)
Let op 2: de NEN 7510 - II gaat veranderen omdat de ISO 27001 gaat veranderen. Onze collega's van Meta-audit.nl weten meer of bekijk ons ISO 27001:2022 control framework.
| |
NEN 7510:2017 delen I + II |
| Gedocumenteerde informatie |
Onderdeel |
| - Scope van het ISMS |
I - 4.3 |
| - Informatiebeveiligingsbeleid en doelen |
I - 5.2, 6.2 |
| - Risico analyse, - behandeling en -methode |
I - 6.1.2 |
| - Verklaring van toepasselijkheid |
I - 6.1.3 d |
| - Risicobehandelplan |
I - 6.1.3e, 6.2 |
| - Procedure gedocumenteerde informatie |
I - 7.5.3 |
| - Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
II - 7.1.2, II - 13.2.4 |
| - Eisen mbt vertrouwelijkheid en non-disclosure agreements |
II - 7.1.2 |
| - Gebruik van bedrijfsmiddelen |
II - 8.1.1 |
| - Aanvaardbaar gebruik van bedrijfsmiddelen |
II - 8.1.3 |
| - Logisch toegangsbeleid |
II - 9.1.1 |
| - Fysieke beveiliging: zones, procedures beveiligde ruimten |
II - 11.1 |
| - Operationele procedures voor IT management |
II - 12.1.1 |
| - Procedure back-up and restore |
II - 12.3.1 |
| - Principes voor engineering |
II - 14.2.5 |
| - Beleid informatiebeveiliging toeleveranciers |
II - 15.1.1 |
| - Incident management procedure |
II - 16.1.5 |
| - Business continuity procedures |
II - 17.1.2 |
| - Eisen mbt wet- en regelgeving |
II - 18.1.1 |
| |
|
| - Registraties van trainingen, skills, ervaring en kwalificaties |
I - 7.2 |
| - Monitoring and meetresultaten |
I - 9.1 |
| - Internal audit programma |
I - 9.2 |
| - Resultaten van internal audits |
I - 9.2 |
| - Resultaten van management review |
I - 9.3 |
| - Resultaten van correctieve acties |
I - 10.1 |
| - Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
II - 7.1.2 |
| - Logging van gebruikers activiteiten, uitzonderingen en security events |
II - 12.4.1, II - 12.4.3 |