Simpele checklist voor NEN7510:2017, de verplichte documenten ...
De checklijst of checklist NEN7510, of preciezer NEN 7510-1:2017 en NEN 7510-2:2017. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2017. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2013, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen (vergelijkbaar met ISO 27001:2013, Annex A)
Om tijdens de fase 1 - audit van een certificerende instantie als BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. Enkele documenten zijn simpelweg verplicht, zoals overzichtelijk aangegeven in het onderstaande overzicht. Beschouw het simpelweg als een checklist voor je NEN7510 handboek / ISMS. In deel 2 maakt de NEN7510:2017 weer onderscheidt tussen algemene en zorgspecifieke maatregelen. De laatste zullen niet of nauwelijks gelden voor bijvoorbeeld een IT-bedrijf (voor details verwijzen we graag naar onze collega's van Meta-audit).
Let op: de ISO 27001 is veranderd en de NEN7510, die hiervan is afgeleid ook: NEN7510:2024. Onze collega's van Meta-audit.nl weten meer of vraag direct Meta-audit's ISO 27001:2022 / NEN 7510:2024 QuickStart aan.
Wat zijn nu de verplichte documenten?
De NEN7510 kent een aantal verplichte documenten. De meeste documenten moeten een onderdeel van het ISMS (Information Security Management System) zijn. Veelal is het vaststelling van beleid, zijn het procedures of is het een beschrijving van de gehanteerde methode. Daarnaast zijn er verplichte registraties, belangrijk om aan te tonen dat het ISMS goed werkt.
Voorbeelden - vragen
Voorbeelden van deze verplichte documenten, evenals een spreadsheet met alle verplichte documenten (checklist), staat in dit managementsysteem, ook wel ISMS - Information Security Management System genoemd: demo ISMS NEN 7510.
In samenwerking met onze collega's van meta-audit.nl leveren we bij één jaarabonnement van het managementsysteem platform (min. Proware + Infoware Brons) certificeerbare voorbeeld documentatie incl. MAPGOOD-risico's conform ISO27001 of NEN7510 erbij. Klik hier voor een uitleg hoe ze dit aanpakken.
ISMS
Er is een simpele oplossing om een ISMS op te zetten en te onderhouden. Zet in 60 seconden als cloudoplossing het Metaware managementsysteem platform op proef klaar, een simpele en innovatieve software tool voor het managementsysteem. Voorbeelddocumenten NEN7510 indien nodig.
Eerst zien, bekijk dan onze video en demo’s op de productpagina of het managementsysteem concept.
Hieronder staat een overzicht (checklist) met een verwijzing naar het relevante norm-onderdeel.
Let op 1: de NEN 7510 - II heeft 36 verschillen met de ISO 27001. (Vraag anders een lijstje bij onze collega's van Meta-audit.nl)
Let op 2: de NEN 7510 - II gaat veranderen omdat de ISO 27001 is veranderd: NEN 7510:2024. Onze collega's van Meta-audit.nl weten ook hiervan meer ...
| |
NEN 7510:2017 delen I + II |
| Gedocumenteerde informatie |
Onderdeel |
| - Scope van het ISMS |
I - 4.3 |
| - Informatiebeveiligingsbeleid en doelen |
I - 5.2, 6.2 |
| - Risico analyse, - behandeling en -methode |
I - 6.1.2 |
| - Verklaring van toepasselijkheid |
I - 6.1.3 d |
| - Risicobehandelplan |
I - 6.1.3e, 6.2 |
| - Procedure gedocumenteerde informatie |
I - 7.5.3 |
| - Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
II - 7.1.2, II - 13.2.4 |
| - Eisen mbt vertrouwelijkheid en non-disclosure agreements |
II - 7.1.2 |
| - Gebruik van bedrijfsmiddelen |
II - 8.1.1 |
| - Aanvaardbaar gebruik van bedrijfsmiddelen |
II - 8.1.3 |
| - Logisch toegangsbeleid |
II - 9.1.1 |
| - Fysieke beveiliging: zones, procedures beveiligde ruimten |
II - 11.1 |
| - Operationele procedures voor IT management |
II - 12.1.1 |
| - Procedure back-up and restore |
II - 12.3.1 |
| - Principes voor engineering |
II - 14.2.5 |
| - Beleid informatiebeveiliging toeleveranciers |
II - 15.1.1 |
| - Incident management procedure |
II - 16.1.5 |
| - Business continuity procedures |
II - 17.1.2 |
| - Eisen mbt wet- en regelgeving |
II - 18.1.1 |
| |
|
| - Registraties van trainingen, skills, ervaring en kwalificaties |
I - 7.2 |
| - Monitoring and meetresultaten |
I - 9.1 |
| - Internal audit programma |
I - 9.2 |
| - Resultaten van internal audits |
I - 9.2 |
| - Resultaten van management review |
I - 9.3 |
| - Resultaten van correctieve acties |
I - 10.1 |
| - Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
II - 7.1.2 |
| - Logging van gebruikers activiteiten, uitzonderingen en security events |
II - 12.4.1, II - 12.4.3 |