NEN7510:2024, verschillen met ISO27001:2022
De norm NEN7510, of preciezer NEN 7510-1:2024 en NEN 7510-2:2024 is een norm gebaseerd op de Code voor Informatiebeveiliging. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2022. Inhoudelijk zijn er bij enkele maatregelen (controls) verschillen, dan wel aanvullingen. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2022, hoofdstukken 4 - 10 en Annex A) en het 2e deel gaat uitgebreid over de beheersmaatregelen, controls. Het 1e deel van de NEN7510 is normgevend.
De NEN 7510 verschilt met de ISO 27001 door een aantal aanvullende zorgspecifieke beheersmaatregelen. (Voor inhoudelijke vragen verwijzen we graag naar onze collega's van Meta-audit). (Vraag hun QuickStart NEN7510:2024-document)
Om tijdens de fase 1 - audit van een certificerende instantie als BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. En wat de verschillen zijn met de ISO27001. Met onderstaande tabel is een overzicht van de verplichte documenten. Praktisch om door te nemen. Beschouw het simpelweg als een checklist.
Let op: de NEN 7510 is veranderd: NEN7510:2024. Het oude certificaat is geldig tot februari 2026 ! Onze collega's van Meta-audit.nl weten meer of bekijk ons ISO 27001:2022 control framework.
Voor wie is NEN7510:2017
De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc.
Voorbeelden - vragen
Een voorbeeld van een ISMS - Information Security Management System genoemd of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl of vraag ze het zelf.
ISMS - Information Security Management System
We hebben een simpele oplossing om een ISMS op te zetten en -niet onbelangrijk- te onderhouden. Voor alle documenten en risico's. Zet in 60 seconden onze cloudoplossing Proware op proef klaar, een simpele en innovatieve software tool voor het managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld, conform NEN7510:2017 natuurlijk.
Eerst zien, bekijk dan onze video en demo’s op de productpagina.
Hieronder staat een overzicht (checklist) met een verwijzing naar het relevante norm-onderdeel.
| |
NEN 7510:2024 deel I |
| Gedocumenteerde informatie |
Onderdeel |
| - Scope van het ISMS |
4.3 |
| - Informatiebeveiligingsbeleid en doelen |
5.2, 6.2 |
| - Risico analyse, - behandeling en -methode |
6.1.2 |
| - Verklaring van toepasselijkheid |
6.1.3 d |
| - Risicobehandelplan |
6.1.3e, 6.2 |
| - Procedure gedocumenteerde informatie |
7.5.3 |
| - Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
A - 5.2, A - 6.2 |
| - Eisen mbt vertrouwelijkheid en non-disclosure agreements |
A - 5.2 |
| - Gebruik van bedrijfsmiddelen |
A - 5.9 |
| - Aanvaardbaar gebruik van bedrijfsmiddelen |
A - 5.10 |
| - Logisch toegangsbeleid |
A - 5.15 |
| - Fysieke beveiliging: zones, procedures beveiligde ruimten |
A - 7.1 |
| - Operationele procedures voor IT management |
A - 5.37 |
| - Procedure back-up and restore |
A - 8.13 |
| - Veilige systeemarchitectuur |
A - 8.27 |
| - Beleid informatiebeveiliging toeleveranciers |
A - 5.19 |
| - Incident management procedure |
A - 5.26 |
| - Business continuity procedures |
A - 5.29 |
| - Eisen mbt wet- en regelgeving |
A - 5.31 |
| |
|
| - Registraties van trainingen, skills, ervaring en kwalificaties |
7.2 |
| - Monitoring en meetresultaten |
9.1 |
| - Internal audit programma |
9.2 |
| - Resultaten van interne audits |
9.2 |
| - Resultaten van management review |
9.3 |
| - Resultaten van correctieve acties |
10.1 |
| - Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
A - 6.2 |
| - Logging van gebruikers activiteiten, uitzonderingen en security events |
A - 8.15 |