NEN 7510 stappenplan - 2024
NEN 7510:2024 is de nieuwe versie voor de norm voor informatiebeveiliging in de zorg (voor zorginstellingen én IT-bedrijven die zorgdata verwerken). De Annex A, de lijst met beheersmaatregelen (controls), gaat helemaal over de kop en 19 beheersmaatregelen (11 algemen en 8 zorgspecifieke) zijn helemaal nieuw. Om gecertifceerd te blijven of in een nieuw certificatietraject moet aan deze nieuwe normversie NEN 7510:2024 worden voldaan. Dit vraagt om een NEN 7510 stappenplan dus.
Met dank aan onze collega's van Meta-audit.nl is een NEN 7510 stappenplan uitgewerkt die voorziet in een control framework voor alle beheersmaatregelen NEN 7510:2024. Meer haast? Vraag direct Meta-audit's NEN 7510 stappenplan - 7510:2024 QuickStart aan (met oa uitleg 19 nieuwe maatregelen en conversietabellen).
NEN 7510 stappenplan - ISMS
Gecertificeerde bedrijven hebben al een ISMS - Information Security Management System. Deze ISMS zal moeten worden aangepast aan de nieuwe normeisen, met name dan de Annex A want dat is de grote verandering.
Zo'n nieuwe norm is ook een mooi moment om de opzet van het eigen managementsysteem, in dit geval het ISMS, eens onder de loep te nemen. Hoe volwassen is het eigen managementsysteem - ISMS?
Bekijk eens een voorbeeld van een ISMS platform.
NEN 7510:2024 aandachtsgebieden
Om te voldoen aan de managementsysteem norm NEN 7510 moet een organisatie een volledig managementsysteem (ISMS - Information Security Management System) hebben met alle beheersmaatregelen geïmplementeerd. De beheersmaatregelen in de nieuwe NEN 7510:2024 zijn (net als in de ISO 27001:2022) gehergroepeerd, verdeeld over 4 groepen. Wel zijn er 19 nieuwe beheersmaatregelen bijgekomen (11 algemene en 8 zorgspecifieke).
De 19 nieuwe beheersmaatregelen (controls) verdeeld over de 4 aandachtsgebieden zijn:
- Organisatorische maatregelen
- Informatie en analyse over dreigingen
- Informatiebeveiliging bij het gebruik van cloud diensten
- ICT-gereedheid voor bedrijfscontinuïteit
- HLT Analyse en specificatie van informatiebeveiligingseisen
- HLT Zorgontvangers op unieke wijze identificeren
- HLT Validatie van getoonde / geprinte gegevens
- HLT Openbaar beschikbare gezondheidsinformatie
- HLT Communicatie in noodsituaties
- HLT Incident extern melden
- Maatregelen tav mensen
- Fysieke maatregelen
- Monitoren van fysieke beveiliging
- Technsiche maatregelen
- Configuratiebeheer
- Wissen van informatie
- Maskering van gegevens
- Voorkomen van gegevenslekken
- Monitoring van activiteiten
- Toepassen van webfilters
- Veilig coderen
- HLT Zero trust - beginselen
Meer weten, dan kan je terecht bij onze collega's van Meta-audit.nl.
NEN 7510 stappenplan - 2024 - implementatie
Het actutaliseren van een ISMS is best wel een klus waarvoor een duidelijk stappenplan zoals gezegd zeker nodig is, evenals goede tooling.
Het stappenplan is te splitsten in de volgende stappen:
- Voorbereiding
- Wat is er, wat is er niet - FitGap-analyse (klik hier een voorbeeld)
- Verbeteren 'Gap's' en implementatie nieuwe maatregelen
- Interne audit, met name mbt de nieuwe beheersmaatregelen
- Laat de externe auditor maar komen ...
NEN 7510:2024, FitGap analyse - de praktische aanpak
Een praktische manier om een FitGap analyse uit te voeren is om de beheermaatregelen als een control framework op te zetten. Per beheersmaatregel of groep van beheersmaatregelen stel je vast of ze zijn geïmplementeerd en of ze effectief zijn. Een goede tool is dan praktisch, bijvoorbeeld een die workflow gestuurd is. Je werkt immers meestal samen met meerdere mensen en dan is een gezamenlijk overzicht met toch individuele workflow acties handig. Ze bewaak je de voortgang en is aantoonbaar dat de overgang naar de nieuwe normversie degelijk is aangepakt.
Klik hier voor een demo van een workflow gestuurd control framework NEN7510:2024/ISO27001:2022 of wel Verklaring van Toepasselijkheid (VvT) met aandachtspunten per norm-item.
