Simpele checklist voor NEN7510, de verplichte documenten ...
De checklijst of checklist NEN7510, of preciezer NEN 7510-1:2024 en NEN 7510-2:2024. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2022. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2013, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen (vergelijkbaar met ISO 27001:2022, Annex A).
De NEN7510 bevat verder verschillende aanvullende zorgspecifieke beheersmaatregelen.
Om tijdens de fase 1 - audit van een certificerende instantie als BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. Enkele documenten zijn simpelweg verplicht, zoals overzichtelijk aangegeven in het onderstaande overzicht. Beschouw het simpelweg als een checklist voor je NEN7510 handboek / ISMS. In deel 2 maakt de NEN7510:2017 weer onderscheidt tussen algemene en zorgspecifieke maatregelen. De laatste zullen niet of nauwelijks gelden voor bijvoorbeeld een IT-bedrijf (voor details verwijzen we graag naar onze collega's van Meta-audit).
Let op: per 20 februari 2027 is een certificaat gebaseerd op de vorige NEN 7510:2017 niet meer geldig . Onze collega's van Meta-audit.nl weten meer of vraag direct Meta-audit's ISO 27001:2022 / NEN 7510:2024 QuickStart handleiding aan.
Wat zijn nu de verplichte documenten?
De NEN7510 kent een aantal verplichte documenten. De meeste documenten moeten een onderdeel van het ISMS (Information Security Management System) zijn. Veelal is het vaststelling van beleid, zijn het procedures of is het een beschrijving van de gehanteerde methode. Daarnaast zijn er verplichte registraties, belangrijk om aan te tonen dat het ISMS goed werkt.
Voorbeelden - vragen - snel op weg
Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten (checklist), staat in dit managementsysteem, ook wel ISMS - Information Security Management System genoemd: demo ISMS NEN 7510.
In samenwerking met onze collega's van meta-audit.nl leveren we een ISMS (proef)omgeving met een control framework NEN 7510:2024. (Dit kan je ook zelf klaarzetten; in 60 seconden online). Het control framework geeft overzicht in alle benodigde beheersmaatregelen en maakt toetsing makkelijker en sneller. Klik hier voor een uitleg hoe ze dit aanpakken.
ISMS
Een ISMS voor NEN 7510 is een gestructureerd managementsysteem waarmee zorgorganisaties hun informatiebeveiliging planmatig inrichten en beheersen. Het richt zich op het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van patiëntgegevens en andere gevoelige informatie. Binnen een ISMS worden risico’s continu geïdentificeerd, geëvalueerd en gemitigeerd via passende maatregelen en controles. Daarnaast ondersteunt het organisaties bij het aantoonbaar voldoen aan wet- en regelgeving en het behalen van certificering. Door deze systematische aanpak ontstaat er een continu verbeterproces dat de informatiebeveiliging duurzaam versterkt .
Hieronder staat een overzicht (checklist) met een verwijzing naar het relevante norm-onderdeel.
| |
NEN 7510:2024 deel I |
| Gedocumenteerde informatie |
Onderdeel |
| - Scope van het ISMS |
4.3 |
| - Informatiebeveiligingsbeleid en doelen |
5.2, 6.2 |
| - Risico analyse, - behandeling en -methode |
6.1.2 |
| - Verklaring van toepasselijkheid |
6.1.3 d |
| - Risicobehandelplan |
6.1.3e, 6.2 |
| - Procedure gedocumenteerde informatie |
7.5.3 |
| - Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
A - 5.2, A - 6.2 |
| - Eisen mbt vertrouwelijkheid en non-disclosure agreements |
A - 5.2 |
| - Gebruik van bedrijfsmiddelen |
A - 5.9 |
| - Aanvaardbaar gebruik van bedrijfsmiddelen |
A - 5.10 |
| - Logisch toegangsbeleid |
A - 5.15 |
| - Fysieke beveiliging: zones, procedures beveiligde ruimten |
A - 7.1 |
| - Operationele procedures voor IT management |
A - 5.37 |
| - Procedure back-up and restore |
A - 8.13 |
| - Veilige systeemarchitectuur |
A - 8.27 |
| - Beleid informatiebeveiliging toeleveranciers |
A - 5.19 |
| - Incident management procedure |
A - 5.26 |
| - Business continuity procedures |
A - 5.29 |
| - Eisen mbt wet- en regelgeving |
A - 5.31 |
| |
|
| - Registraties van trainingen, skills, ervaring en kwalificaties |
7.2 |
| - Monitoring en meetresultaten |
9.1 |
| - Internal audit programma |
9.2 |
| - Resultaten van interne audits |
9.2 |
| - Resultaten van management review |
9.3 |
| - Resultaten van correctieve acties |
10.1 |
| - Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
A - 6.2 |
| - Logging van gebruikers activiteiten, uitzonderingen en security events |
A - 8.15 |