(NEN 7510-1+A1) gaat niet in op maatregelen om informatie te beschermen, maar beschrijft hoe het managementsysteem voor informatiebeveiliging zou moeten worden ingericht. Managementsysteem Het managementsysteem voor informatiebeveiliging wordt ook wel aangeduid als het ‘ISMS’, wat een acroniem is van Information Security Management System. Met ‘systeem’ wordt niet gedoeld op een software tool, maar op een gestructureerd geheel aan beleid, processen, procedures en afspraken die zijn ingericht om de doelstellingen met betrekking tot informatiebeveiliging te behalen. De rode draad binnen dit systeem is de ‘plan-do-check-act-cyclus’; een procesmatige manier van werken waarmee je de kwaliteit niet alleen op peil houdt, maar ook doorlopend kunt verbeteren. Dat doe je door de processen rond informatiebeveiliging zodanig in te richten dat acties op basis van een bepaald plan worden uitgevoerd. Vervolgens wordt periodiek geëvalueerd of het plan naar behoren wordt uitgevoerd en of daarmee de gestelde doelen worden behaald. Waar nodig wordt bijgestuurd. Vervolgens worden de geleerde lessen meegenomen in de nieuwe ‘plan’ fase, enzovoort. Leveranciersrelaties & NEN 7510 NEN 7510 heeft een hoofdstuk geweid aan leveranciersmanagement in de context van informatiebeveiliging in de zorg. De norm beschrijft twee beheersdoelstellingen en koppelt daar in totaal vijf beheersmaatregelen aan. Doelstellingen NEN 7510 beschrijft de volgende beheersdoelstellingen in het kader van leveranciersrelaties: 1. Informatiebeveiliging in leveranciersrelaties De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers.1 2. Beheer van dienstverlening van leveranciers Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.2 Act Bijsturen op basis van de evaluatie. Input voor volgende 'plan' fase. Check Evalueren: hebben we de maatregelen correct uitgevoerd en sorteren zij het gewenste effect? Plan Wat zijn onze risico's en welke maatregelen gaan we nemen? Do Implementeren en uitvoeren van de maatregelen. Informatiebeveiliging in leveranciersrelaties Bij de eerste doelstelling komt het erop neer dat er risico’s voor de bescherming van informatie ontstaan, wanneer leveranciers toegang of beschikking krijgen over bedrijfsmiddelen. Bijvoorbeeld een inhuurkracht die een laptop van de zorginstelling ontvangt om haar of zijn werk te doen. Maar ook het netwerk en computersystemen zijn bedrijfsmiddelen waar zo’n inhuurkracht toegang toe kan krijgen. En ook daar kan bewust of onbewust iets gebeuren dat een risico vormt voor de beschikbaarheid, integriteit of vertrouwelijkheid van (zorg)informatie. NEN 7510-2 beschrijft drie maatregelen om deze risico’s te beheersen. Beleid voor leveranciersrelaties Stap 1 om deze doelstelling te behalen is om beleid te hanteren met betrekking tot leveranciers. De norm schrijft voor dat de organisatie eisen opstelt en met de leverancier afspreekt, waarmee de risico’s die samenhangen met de toegang die de leverancier heeft tot bedrijfsmiddelen, worden verkleind. Beheersmaatregelen Deel 2 van NEN 7510 (NEN 7510-2) beschrijft beheersmaatregelen om de risico’s rond informatiebeveiliging te beheersen en geeft best practices met betrekking tot de implementatie van de maatregelen. De beheersmaatregelen betreffen zowel technische als organisatorische maatregelen en lopen uiteen van maatregelen voor het opstellen van beleid en de aansturing daaromheen, tot aan maatregelen rond het screenen en opleiden van personeel, het beheren van autorisaties, het toepassen en beheren van versleuteling, en het uitvoeren van interne en externe audits. Een onderwerp dat steeds belangrijker wordt is beschreven in hoofdstuk 15: leveranciersrelaties. Met andere woorden: zorg er niet alleen voor dat er duidelijke regels zijn voor de eigen medewerkers, maar leg die regels ook op aan leveranciers. Hiertoe zal dus éérst in kaart moeten worden gebracht welke risico’s er zijn, hoe groot de kans is dat de risico’s zich voordoen en wat in dat geval de impact is. Vervolgens kunnen maatregelen worden overeengekomen met de betreffende leverancier om op een voor de organisatie passende wijze met die risico’s om te gaan. Beveiligingsaspecten in contracten Als tweede stap om bedrijfsmiddelen die toegankelijk zijn voor leveranciers te beschermen, schrijft NEN 75101. NEN 7510-2:2017, §15.1. 2. NEN 7510-2:2017, §15.2. 5
6 Online Touch Home