NEN 7510 (nl) Medische informatica Informatiebeveiliging in de zorg. Nederlandse norm

Transcriptie

1 NORM NORM iew Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. eld be Medische informatica Informatiebeveiliging in de zorg ev Pr or Vo NEN 7510 (nl) NEN Postbus GB Delft Vlinderweg AX Delft T +31 (0) F +31 (0) info@nen.nl Nederlandse norm Vervangt NEN 7510:2004; NEN 7510:2010 Ontw.; NEN :2005; NEN :2005; NEN :2005 ICS ; ; Oktober 2011 Normalisatie: de wereld op één lijn [106] NEN_Norm_NEN7510_omslag_def.indd :41

2

3 Nederlandse norm NEN 7510 (nl) Medische informatica - Informatiebeveiliging in de zorg Health Informatics - Information security management in healthcare Vervangt NEN 7510:2004; NEN 7510:2010 Ontw.; NEN :2005; NEN :2005; NEN :2005 ICS ; ; oktober 2011

4 Normcommissie "Informatievoorziening in de zorg" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) , Fax (015)

5 Inhoud Voorwoord Inleiding Informatiebeveiliging Specifiek voor de gezondheidszorg Deze Nederlandse norm Onderwerp en toepassingsgebied Termen en definities Risicomanagement en opbouw van deze norm Risicomanagement Overzicht risicomanagement Risicobeoordeling Risicobehandeling Opbouw van deze norm Aanpak van de informatiebeveiliging Managementsysteem voor informatiebeveiliging: ISMS Directieverantwoordelijkheid Toewijzen verantwoordelijkheden Actieve betrokkenheid Stuurgroep PLAN: het ISMS vaststellen DO: het ISMS implementeren en uitvoeren Implementeren en uitvoeren ISMS Beschikbaar stellen van middelen Training, bewustzijn en bekwaamheid voor het ISMS CHECK: het ISMS monitoren en beoordelen Het ISMS monitoren en beoordelen Interne ISMS-audits Directiebeoordeling van het ISMS ACT: het ISMS onderhouden en verbeteren Algemeen Continue verbetering Corrigerende maatregelen Preventieve maatregelen Documentatie van het ISMS Algemeen Beheersing van documenten Beheersing van registraties Beveiligingsbeleid Informatiebeveiligingsbeleid Beleidsdocument voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Organisatie van informatiebeveiliging Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor middelen voor de informatievoorziening Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiliging in de omgang met klanten Beveiliging in overeenkomsten met een derde partij

6 7 Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Verantwoordelijken voor de bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Classificatie van informatie Richtlijnen voor classificatie Labeling en verwerking van informatie Personeel Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden Screening Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Intrekken van toegangsrechten Fysieke beveiliging en beveiliging van de omgeving Beveiligde ruimten Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Bescherming tegen bedreigingen van buitenaf Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuur Plaatsing en bescherming van apparatuur Nutsvoorzieningen Beveiliging van kabels Onderhoud van apparatuur Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen Beheer van communicatie- en bedieningsprocessen Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Beheer van de dienstverlening door een derde partij Dienstverlening Controle en beoordeling van dienstverlening door een derde partij Beheer van wijzigingen in dienstverlening door een derde partij Systeemplanning en -acceptatie Capaciteitsbeheer Systeemacceptatie Bescherming tegen kwaadaardige programmatuur en mobile code Maatregelen tegen kwaadaardige programmatuur Maatregelen tegen mobile code Back-up en herstel Reservekopieën (back-ups) Beheer van netwerkbeveiliging Maatregelen voor netwerken Beveiliging van netwerkdiensten Behandeling van media Beheer van verwijderbare media

7 Verwijdering van media Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Uitwisseling van informatie Beleid en procedures voor informatie-uitwisseling Uitwisselingsovereenkomsten Fysiek transport van media Elektronische berichtenuitwisseling Systemen voor bedrijfsinformatie Diensten voor e-commerce E-commerce Onlinetransacties Openbaar beschikbare informatie Controle Aanmaken audit-logbestanden Controle van systeemgebruik Bescherming van informatie in logbestanden Logbestanden van administrators en operators Registratie van storingen Synchronisatie van systeemklokken Toegangsbeveiliging Bedrijfseisen ten aanzien van toegangsbeheersing Toegangsbeleid Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van speciale bevoegdheden Beheer van gebruikerswachtwoorden Beoordeling van toegangsrechten van gebruikers Verantwoordelijkheden van gebruikers Gebruik van wachtwoorden Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Toegangsbeheersing voor netwerken Beleid ten aanzien van het gebruik van netwerkdiensten Authenticatie van gebruikers bij externe verbindingen Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Scheiding van netwerken Beheersmaatregelen voor netwerkverbindingen Beheersmaatregelen voor netwerkroutering Toegangsbeveiliging voor besturingssystemen Beveiligde inlogprocedures Gebruikersindentificatie en -authenticatie Systemen voor wachtwoordbeheer Gebruik van systeemhulpmiddelen Time-out van sessies Beperking van verbindingstijd Toegangsbeheersing voor toepassingen en informatie Beheersen van toegang tot informatie Isoleren van gevoelige systemen Draagbare computers en telewerken Draagbare computers en communicatievoorzieningen Telewerken Verwerving, ontwikkeling en onderhoud van informatiesystemen Beveiligingseisen voor informatiesystemen Analyse en specificatie van beveiligingseisen Correcte verwerking in toepassingen Validatie van invoergegevens Beheersing van interne gegevensverwerking Integriteit van berichten

8 Validatie van uitvoergegevens Cryptografische beheersmaatregelen Beleid voor het gebruik van cryptografische beheersmaatregelen Sleutelbeheer Beveiliging van systeembestanden Beheersing van operationele programmatuur Bescherming van testdata Toegangsbeheersing voor broncode van programmatuur Beveiliging bij ontwikkelings- en ondersteuningsprocessen Procedures voor wijzigingsbeheer Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Restricties op wijzigingen in programmatuurpakketten Informatielekken Uitbestede ontwikkeling van programmatuur Beheer van technische kwetsbaarheden Beheersing van technische kwetsbaarheden Beheer van informatiebeveiligingsincidenten Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Rapportage van informatiebeveiligingsgebeurtenissen Rapportage van zwakke plekken in de beveiliging Beheer van informatiebeveiligingsincidenten en -verbeteringen Verantwoordelijkheden en procedures Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Bedrijfscontinuïteitsbeheer Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling Continuïteitsplannen en informatievoorziening Kader voor de bedrijfscontinuïteitsplanning Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen Naleving Naleving van wettelijke voorschriften Identificatie van toepasselijke wetgeving Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) Bescherming van bedrijfsdocumenten Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van IT-voorzieningen Voorschriften voor het gebruik van cryptografische beheersmaatregelen Naleving van beveiligingsbeleid en -normen en technische naleving Naleving van beveiligingsbeleid en -normen Controle op technische naleving Overwegingen bij audits van informatiesystemen Beheersmaatregelen voor audits van informatiesystemen Bescherming van audithulpmiddelen voor audits van informatiesystemen Bijlage A (informatief) Stappen en documenten van het Information Security Management System Bijlage B (informatief) Vergelijkingstabel NEN 7510:2004, NEN 7510:2011 en NEN-EN-ISO 27799: Bijlage C (informatief) Informatie over interne audits Bijlage D (informatief) Verband tussen NEN-ISO/IEC en NEN 7510: Bibliografie

9 Voorwoord Deze Nederlandse norm komt als herziening in de plaats van NEN 7510:2004 en de daaraan gerelateerde NEN :2005, NEN :2005 en NEN :2005. De herziene norm vormt tevens de Nederlandse weergave van de Europese en internationale norm NEN-EN-ISO 27799:2008. Die norm geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging ISO/IEC 27002:2005 in de gezondheidszorg en verwijst naar ISO/IEC voor het bijbehorende managementsysteem. De Code voor informatiebeveiliging vormde indertijd ook de basis voor NEN 7510:2004. In deze herziening is de meest recente versie van NEN-ISO/IEC als startpunt genomen, zijn de aanwijzingen en aanscherpingen uit NEN-EN-ISO daarop aangebracht voor de Nederlandse situatie en is waar nodig aanvullende tekst uit de eerdere versie van NEN 7510 en NEN 7511 opgenomen. Verder besteedt deze herziene norm nu uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicomanagement dat daar deel van uitmaakt. Hoofdstuk 4, over de aanpak van de informatiebeveiliging, volgt hierin NEN-EN-ISO 27799, met dien verstande dat zoveel mogelijk wordt aangesloten bij NEN-ISO/IEC Hoofdstuk 4 vormt aldus het normatieve raamwerk van de herziene NEN Hoofdstuk 3 geeft aanwijzingen voor het gebruik van deze norm en geeft uitleg over de verdere structuur van dit document. Hoofdstuk 4 behandelt het proces van inrichting en instandhouding van het Information Security Management System (ISMS). De beheersmaatregelen in de hoofdstukken 5 t.m. 15 geven vervolgens invulling aan de informatiebeveiliging zelf. Daarbij zijn aandachtspunten en aanbevelingen voor implementatie opgenomen om de beheersmaatregelen in praktijk te brengen. De aandachtspunten en aanbevelingen zijn niet normatief. In de hoofdstukken met beheersmaatregelen zijn indeling en nummering gelijk gehouden aan die van NEN-ISO/IEC Ten opzichte van NEN 7510:2004 en NEN 7511:2005 betekent dit dat hoofdstuk 15 over beveiligingsincidenten nu als hoofdstuk 13 is opgenomen en dat de hoofdstukken over Continuïteitsbeheer en Naleving een plaats zijn opgeschoven naar respectievelijk 14 en 15. Bijlage B laat zien waar de beheersmaatregelen uit NEN 7510:2004 in deze herziene norm zijn terug te vinden. De nu voorliggende NEN 7510 komt met bovenstaande ingrepen tegemoet aan een veelheid van wensen vanuit de eerste zes jaren ervaring met de norm in Nederland. Uitgangspunt is nu het continue managementsysteem: met de risicoanalyse bepaalt een organisatie aan de hand van onderkende bedreigingen een passende set maatregelen; door het inrichten van een managementsysteem herhaalt de organisatie regelmatig delen van de risicoanalyse en houdt daarmee de set maatregelen op peil of verbetert die. Met het centraal stellen van risicoanalyse en managementsysteem sluit de norm aan bij de genoemde internationale sectoroverstijgende normen op dit gebied (de 'code voor informatiebeveiliging ). 5

10 0 Inleiding 0.1 Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Dit is vooral belangrijk in de steeds nauwer verweven maatschappij. Door deze toenemende verwevenheid wordt informatie blootgesteld aan een toenemend aantal en breder scala van bedreigingen en zwakke plekken. Informatie kan in verschillende vormen voorkomen. De informatie kan onder meer zijn afgedrukt of geschreven op papier, elektronisch zijn opgeslagen, per post of via elektronische media worden verzonden, op film worden getoond of mondeling worden uitgewisseld. Informatie behoort altijd op geschikte wijze te worden beschermd, rekening houdend met de vorm of de wijze waarop deze wordt gedeeld of opgeslagen. Verstoringen in de informatievoorziening en schade als gevolg daarvan kunnen worden voorkomen of beperkt door een geschikte set beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. De keuze van maatregelen voor informatiebeveiliging houdt een afweging in van risico s, kosten en praktische mogelijkheden. Deze factoren veranderen voortdurend. De afweging zal dan ook telkens opnieuw moeten worden gemaakt. Informatiebeveiliging vereist dan ook een besturingsproces. 0.2 Specifiek voor de gezondheidszorg Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatievoorziening ( een overal bereikbaar patiëntdossier ) met bijzondere risico s (soms levensbedreigend, zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van de bovengenoemde aspecten van informatiebeveiliging. Zorginstellingen zijn open organisaties waar patiënten, familie en bezoekers in beginsel toegang hebben. Bij grote zorginstellingen kan het aantal mensen dat in operationele gebieden komt aanzienlijk zijn. Dit maakt de informatiesystemen in de zorg extra kwetsbaar. De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt naadloze zorg. De informatiebeveiliging moet zich dus uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen. Naarmate zorginstellingen voor de levering van zorg steeds afhankelijker worden van informatiesystemen (bijvoorbeeld door toepassen van beslissingsondersteuning en de toenemende toepassing van medische apparatuur met ingebouwde programmatuur), wordt het steeds duidelijker dat gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, ingrijpende klinische gevolgen kunnen hebben. Met verwijzing naar ethische of wettelijke verplichtingen kan het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen worden aangemerkt als nalatigheid. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënt een behandelingsovereenkomst, heeft hij/zij daarbij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan. Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico's waaraan deze wordt blootgesteld. Voor systemen met patiëntgegevens is hoge beschikbaarheid een eerste eis. Tijdigheid van informatie is vaak een kritische factor voor de juiste zorg. Bij spoedeisende zorg kan een extreem hoge eis aan tijdigheid moeten worden gesteld, wat specifieke aandacht vraagt voor het tegelijkertijd waarborgen van de 6

11 vertrouwelijkheid. Integriteit van de gegevens is ook zeker vereist. Verder behoort ter bescherming van de privacy voor alle persoonsgegevens de vertrouwelijkheid te worden gewaarborgd. Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor het bepalen van de prioriteiten en noodzakelijke middelen van de implementerende organisatie. Toepassing van de relevante beheersmaatregelen in de hoofdstukken 5 tot en met 15 dient het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en maakt dat de omgang met de informatie kan worden ge-audit en verantwoord. De beheersmaatregelen kunnen helpen de kans op fouten in de zorg die ontstaan door verlies van integriteit in patiëntinformatie te verminderen. Brede toepassing van norm en maatregelen zijn belangrijk voor de continuïteit van zorg. 0.3 Deze Nederlandse norm Deze norm biedt een gemeenschappelijk kader voor het inrichten van de informatiebeveiliging in de gezondheidszorg. Dit gemeenschappelijke kader is nodig met het oog op de samenwerking binnen en tussen verschillende organisaties in de zorg. De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is anders. Zelfs wanneer organisaties zich met dezelfde dienstverlening bezighouden kunnen er grote verschillen bestaan. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van de informatieverwerking die wordt gebruikt of in de cultuur van de mensen die er werken. Omdat iedere organisatie anders is, bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatie moeten worden toegespitst. Het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd. Deze norm geeft de verantwoordelijke(n) aanwijzingen bij het bepalen van doelstellingen en een afgewogen realisatie. De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, maar bevat geen expliciete aanwijzingen voor specifieke technische maatregelen. Bijvoorbeeld niet te lezen zal zijn welke methode van encryptie moet worden toegepast. Dit document is bedoeld voor degenen die een rol spelen bij het organiseren en bewaken van de informatiebeveiliging in de zorg. Die rollen kunnen op uiteenlopende wijzen zijn ingevuld en belegd in verschillende betrokken organisaties, zoals individuele zorgverleners, zorginstellingen, (regionale) netwerkorganisaties, verzekeraars, certificerende organisaties en de Inspectie voor de Gezondheidszorg. De norm is in eerste instantie gericht op de leiding van de verschillende organisaties. Deze moet zorgen voor het toewijzen en invullen van de rollen en verantwoordelijkheden voor het organiseren en bewaken van de informatiebeveiliging. De norm richt zich vervolgens tot de degenen die aldus in het informatiebeveiligingsproces zijn betrokken. 7

12 Medische informatica Informatiebeveiliging in de zorg 1 Onderwerp en toepassingsgebied Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een Information Security Management System (ISMS). De organisaties waarop de norm zich richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken. Het toepassingsgebied omvat de beveiliging van alle typen informatie in en informatie-uitwisseling tussen de genoemde organisaties en alle mogelijke vormen waarin de informatie wordt weergegeven, vastgelegd en overgedragen. Om de vereiste waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te bepalen is een risicobeoordeling nodig. In de cyclus voor het beheersen van de informatiebeveiliging maakt risicobeoordeling onderdeel uit van de eerste fase. Door implementatie van het ISMS inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen in deze norm kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. Deze norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de gezondheidszorg. 2 Termen en definities Voor de toepassing van dit document gelden de volgende definities. 2.1 authenticatie verifiëren van beweerde identiteit 2.2 autorisatie toekennen van bevoegdheden 2.3 bedreiging potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen [NEN-ISO/IEC 27000:2009] 2.4 bedrijfsmiddel alles dat waarde heeft voor de organisatie [NEN-ISO/IEC 27000:2009] 2.5 beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn OPMERKING Beheersmaatregel wordt ook gebruikt als een synoniem voor waarborging of tegenmaatregel. 2.6 beleid algehele intentie en richting die formeel door de directie wordt onderschreven 8

13 2.7 beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit [NEN-ISO/IEC 27000:2009] 2.8 besturingssysteem programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten aanbiedt om andere programma's uit te voeren OPMERKING Het besturingssysteem zorgt onder meer voor het starten en beëindigen van andere programma's en het regelt de toegang tot de hardware. Andere programma s maken gebruik van de ondersteuning van het besturingssysteem. Zo kan een besturingssysteem de toegang en de autorisatie van programmatuur en gebruikers faciliteren. Het besturingssysteem vormt zo een laag tussen de hardware van een computer en de toepassingsprogrammatuur en gebruikers. 2.9 beveiligingskenmerken aanduidingen die aan gegevens worden toegekend om de beveiliging en het gebruik van de gegevens te kunnen sturen 2.10 derde partij persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien 2.11 dienstverband relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken OPMERKING 1 Het begrip dienstverband is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten. OPMERKING 2 De uitdrukking dienstverband is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten directie hoogst verantwoordelijke van een organisatie 2.13 gebeurtenis optreden van of wijziging in een bepaalde combinatie van omstandigheden [NPR-ISO Guide 73:2009] 2.14 gevolg uitkomst van een gebeurtenis, waardoor doelstellingen worden beïnvloed [NPR-ISO Guide 73:2009] 2.15 identificatie bepalen van de identiteit van een persoon of andere entiteit 9

14 2.16 informatiebeveiliging behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen [NEN-ISO/IEC 27001:2005] 2.17 informatiebeveiligingsgebeurtenis vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe onbekende situatie die relevant kan zijn voor beveiliging [NPR-ISO/IEC TR 18044:2004] 2.18 informatiebeveiligingsincident afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging [NPR-ISO/IEC TR 18044:2004] 2.19 informatiedomein gespecificeerd gebied waarbinnen verantwoordelijkheden voor informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor unieke identificatie van entiteiten 2.20 integriteit eigenschap dat de juistheid en volledigheid van bedrijfsmiddelen wordt beschermd [NEN-ISO/IEC 27000:2009] 2.21 informatievoorziening elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht 2.22 klant persoon die gebruik maakt van diensten of faciliteiten van de organisatie 2.23 kwetsbaarheid intrinsieke eigenschappen van iets die leiden tot gevoeligheid voor een risicobron, hetgeen kan leiden tot een gebeurtenis met een gevolg [NPR-ISO Guide 73:2009] 2.24 loggen chronologisch vastleggen van gebeurtenissen 2.25 logging resultaat van het loggen. Dit is een verzamelbegrip voor de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', en de 'logbestanden' waarin deze worden bewaard 10

15 2.26 managementsysteem voor informatiebeveiliging ISMS dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging OPMERKING Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. [NEN-ISO/IEC 27001:2005] 2.27 medische apparatuur apparatuur die wordt gebruikt als hulpmiddel voor een zorgproces OPMERKING 1 Dit omvat apparatuur voor diagnostiek, monitoring, behandeling en verzorging. Het gebruik kan binnen of buiten een zorginstelling plaatsvinden door zorgverleners of anderen. OPMERKING 2 Apparatuur die bedoeld is voor het zorgproces valt onder de Europese richtlijn Medische Hulpmiddelen. Deze definitie omvat ook apparatuur die niet bedoeld is voor het zorgproces, maar er wel voor wordt gebruikt mobile code interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan desktopcomputer c.q. computerterminal wordt overgedragen OPMERKING 1 Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze programmatuur installeert of activeert. OPMERKING 2 Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. , webpagina s of documenten. en zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro s binnen documenten patiënt natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders; in de praktijk omvat deze groep alle in Nederland verblijvende personen 2.30 patiëntdossier totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en verzorging van een bepaalde persoon documenteren OPMERKING Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, geen patiëntendossier, o.a. om te benadrukken dat het meestal gaat om het dossier van één patiënt patiëntgegevens medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele patiënten 2.32 restrisico risico dat overblijft na risicobehandeling [NPR-ISO Guide 73:2009] 11

16 Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer WB Delft NEN Standards Products & Services Postbus GB Delft Vlinderweg AX Delft Ja, ik bestel ex. NEN 7510:2011 nl Medische informatica - Informatiebeveiliging in de zorg 0.00 T (015) F (015) Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via Gratis nieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze nieuwsbrieven. Gegevens Bedrijf / Instelling T.a.v. O M O V Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2018, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon , dagelijks van 8.30 tot uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: LEREN, WERKEN EN GROEIEN MET NEN preview