Ontwerp norm NEN Health Informatics - Information security management in health september 2010 ICS ; Commentaar vóór

Transcriptie

1 Nederlandse Ontwerp norm NEN 7510 Medische informatica Informatiebeveiliging in de zorg Publicatie uitsluitend voor commentaar Health Informatics - Information security management in health september 2010 ICS ; Commentaar vóór Zal vervangen NEN 7510:2004; NEN :2005; NEN :2005; NEN :2005 Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. Normcommissie "Informatievoorziening in de zorg" Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) , Fax (015)

2 Inhoud Voorwoord Inleiding Informatiebeveiliging Specifiek voor de gezondheidszorg Deze Nederlandse norm Onderwerp en toepassingsgebied Termen en definities Structuur en aanwijzingen voor het gebruik van deze norm Aanpak van de informatiebeveiliging Managementsysteem voor informatiebeveiliging: ISMS Verantwoordelijkheden Algemeen Directie Stuurgroep Risicobeheer Inleiding Risicomodel Criteria voor risicoaanvaarding Uitvoeren van risicobeoordelingen Output van de risicobeoordeling Risicobehandeling Plannen voor de behandeling van resterende risicogebieden PLAN: het ISMS vaststellen DO: het ISMS implementeren en uitvoeren Uitvoeren en implementeren ISMS Beschikbaar stellen van middelen Training, bewustzijn en bekwaamheid voor het ISMS CHECK: het ISMS monitoren en beoordelen Het ISMS controleren en beoordelen Beoordelingsvormen Interne ISMS-audits Directiebeoordeling van het ISMS ACT: het ISMS onderhouden en verbeteren Algemeen Continue verbetering Corrigerende maatregelen Preventieve maatregelen Documentatie van het ISMS Documentatie van het ISMS Beheersing van documenten en registraties Beveiligingsbeleid Informatiebeveiligingsbeleid Beleidsdocument voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Organisatie van informatiebeveiliging Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor IT-voorzieningen Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen

3 6.1.8 Onafhankelijke beoordeling van informatiebeveiliging Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiliging behandelen in de omgang met klanten Beveiliging behandelen in overeenkomsten met een derde partij Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Verantwoordelijken voor de bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Classificatie van informatie Richtlijnen voor classificatie Labeling en verwerking van informatie Personeel Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden Screening Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten Fysieke beveiliging en beveiliging van de omgeving Beveiligde ruimten Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Bescherming tegen bedreigingen van buitenaf Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuur Plaatsing en bescherming van apparatuur Nutsvoorzieningen Beveiliging van kabels Onderhoud van apparatuur Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen Beheer van communicatie- en bedieningsprocessen Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Beheer van de dienstverlening door een derde partij Dienstverlening Controle en beoordeling van dienstverlening door een derde partij Beheer van wijzigingen in dienstverlening door een derde partij Systeemplanning en -acceptatie Capaciteitsbeheer Systeemacceptatie Bescherming tegen virussen en mobile code Maatregelen tegen virussen Maatregelen tegen mobile code

4 10.5 Back-up Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Maatregelen voor netwerken Beveiliging van netwerkdiensten Behandeling van media Beheer van verwijderbare media Verwijdering van media Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Uitwisseling van informatie Beleid en procedures voor informatie-uitwisseling Uitwisselingsovereenkomsten Fysiek transport van media Elektronisch berichtenuitwisseling Systemen voor bedrijfsinformatie Diensten voor e-commerce E-commerce Onlinetransacties Openbaar beschikbare informatie Controle Aanmaken audit-logbestanden Controle van systeemgebruik Bescherming van informatie in logbestanden Logbestanden van administrators en operators Registratie van storingen Synchronisatie van systeemklokken Toegangsbeveiliging Bedrijfseisen ten aanzien van toegangsbeheersing Toegangsbeleid Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van speciale bevoegdheden Beheer van gebruikerswachtwoorden Beoordeling van toegangsrechten van gebruikers Verantwoordelijkheden van gebruikers Gebruik van wachtwoorden Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Toegangsbeheersing voor netwerken Beleid ten aanzien van het gebruik van netwerkdiensten Authenticatie van gebruikers bij externe verbindingen Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Scheiding van netwerken Beheersmaatregelen voor netwerkverbindingen Beheersmaatregelen voor netwerkroutering Toegangsbeveiliging voor besturingssystemen Beveiligde inlogprocedures Gebruikersindentificatie en -authenticatie Systemen voor wachtwoordbeheer Gebruik van systeemhulpmiddelen Time-out van sessies Beperking van verbindingstijd Toegangsbeheersing voor toepassingen en informatie Beperken van toegang tot informatie Isoleren van gevoelige systemen Draagbare computers en telewerken Draagbare computers en communicatievoorzieningen Telewerken

5 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen Beveiligingseisen voor informatiesystemen Analyse en specificatie van beveiligingseisen Correcte verwerking in toepassingen Validatie van invoergegevens Beheersing van interne gegevensverwerking Integriteit van berichten Validatie van uitvoergegevens Cryptografische beheersmaatregelen Beleid voor het gebruik van cryptografische beheersmaatregelen Sleutelbeheer Beveiliging van systeembestanden Beheersing van operationele programmatuur Bescherming van testdata Toegangsbeheersing voor broncode van programmatuur Beveiliging bij ontwikkelings- en ondersteuningsprocessen Procedures voor wijzigingsbeheer Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Restricties op wijzigingen in programmatuurpakketten Uitlekken van informatie Uitbestede ontwikkeling van programmatuur Beheer van technische kwetsbaarheden Beheersing van technische kwetsbaarheden Beheer van informatiebeveiligingsincidenten Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Rapportage van informatiebeveiligingsgebeurtenissen Rapportage van zwakke plekken in de beveiliging Beheer van informatiebeveiligingsincidenten en -verbeteringen Verantwoordelijkheden en procedures Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Bedrijfscontinuïteitsbeheer Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging Kader voor de bedrijfscontinuïteitsplanning Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen Naleving Naleving van wettelijke voorschriften Identificatie van toepasselijke wetgeving Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) Bescherming van bedrijfsdocumenten Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van IT-voorzieningen Voorschriften voor het gebruik van cryptografische beheersmaatregelen Naleving van beveiligingsbeleid en -normen en technische naleving Naleving van beveiligingsbeleid en -normen Controle op technische naleving Overwegingen bij audits van informatiesystemen Beheersmaatregelen voor audits van informatiesystemen Bescherming van audithulpmiddelen voor audits van informatiesystemen Bijlage A (informatief) Stappen en documenten van het Information Security Management System Bijlage B Vergelijkingstabel NEN 7510:2004, NEN 7510:2010 en NEN-EN-ISO 27799: Bibliografie

6 Voorwoord Deze Nederlandse norm komt als herziening in de plaats van NEN 7510:2004 en de daaraan gerelateerde NEN :2005, NEN :2005 en NEN :2005. Bovendien vormt deze norm de Nederlandse weergave van de Europese en internationale norm NEN-EN-ISO 27799:2008. Die internationale norm geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging NEN-ISO/IEC 27002:2005 in de gezondheidszorg. De Code voor informatiebeveiliging vormde ook de basis voor NEN 7510:2004. In deze herziening is de meest recente versie van de Code als startpunt genomen en zijn de aanwijzingen en aanscherpingen uit NEN-EN-ISO voor de Nederlandse situatie daarop aangebracht en is aanvullende tekst uit de eerdere versie van NEN 7510 en NEN 7511opgenomen. Deze norm besteedt nu uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicobeheer dat daar deel van uitmaakt. De inhoud van hoofdstuk 4 over de aanpak van de informatiebeveiliging volgt daarin NEN-EN-ISO 27799, met dien verstande dat zoveel mogelijk wordt aangesloten bij NEN-ISO/IEC Het normatieve karakter van hoofdstuk 4 is daarmee versterkt. Voor de hoofdstukken met beheersmaatregelen zijn de indeling en nummering voor zover mogelijk gelijk gehouden aan die van NEN-ISO/IEC Ten opzichte van NEN 7510:2004 en NEN 7511 betekent dit dat hoofdstuk 15 over beveiligingsincidenten nu als hoofdstuk 13 is opgenomen en de hoofdstukken over Continuïteitsbeheer en Naleving een plaats zijn opgeschoven naar respectievelijk 14 en 15. Bijlage B laat zien waar de beheersmaatregelen uit NEN 7510:2004 in de voorliggende norm terug te vinden zijn. Overeenkomstig de zorgspecifieke aanscherpingen van NEN-EN-ISO staat in deze norm op verschillende plaatsen moeten, terwijl NEN-ISO/IEC overal behoren gebruikt. Waar moeten staat is er geen ruimte voor een eigen risicoafweging door de desbetreffende organisatie. Bij behoren is die risicoafweging doorslaggevend. Met de gekozen opzet is deze norm een compleet document. Er zijn geen normatieve verwijzingen meer opgenomen. Aansluitende normen zijn opgenomen in de bibliografie. In de hoofdstukken 5 t.m. 15 zijn de aanvullingen en aanscherpingen uit NEN-EN-ISO op de beheersmaatregelen van NEN-ISO/IEC vet weergegeven. Commentaar op het normontwerp Commentaar op dit normontwerp kan vóór 15 december 2010 elektronisch worden ingediend via 6

7 0 Inleiding 0.1 Informatiebeveiliging Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken. Informatiebeveiliging is gericht op waarborging van de aspecten: beschikbaarheid: het zekerstellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers; integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname. Behalve deze elementaire aspecten spelen bij informatiebeveiliging ook begrippen als betrouwbaarheid, authenticiteit, onweerlegbaarheid, controleerbaarheid en verantwoording een rol. Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Dit is vooral belangrijk in het steeds nauwer verweven bedrijfsleven. Door deze toenemende verwevenheid wordt informatie blootgesteld aan een toenemend aantal en breder scala van bedreigingen en zwakke plekken. Informatie kan in verschillende vormen voorkomen. De informatie kan zijn afgedrukt of geschreven op papier, elektronisch zijn opgeslagen, per post of via elektronische media worden verzonden, op film worden getoond of mondeling worden uitgewisseld. Informatie behoort altijd op geschikte wijze te worden beschermd, ongeacht de vorm of de wijze waarop deze wordt gedeeld of opgeslagen. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de organisatie worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen. De keuze van maatregelen voor informatiebeveiliging houdt een afweging in van risico s, kosten en praktische mogelijkheden. De stand van de techniek speelt bij het laatste een belangrijke rol. De afweging zal telkens opnieuw moeten worden gemaakt. Informatiebeveiliging vereist dan ook een besturingsproces. 0.2 Specifiek voor de gezondheidszorg Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatievoorziening ( een overal bereikbaar patiëntdossier ) met bijzondere risico s (soms zelfs levensbedreigend, veelal zeer gevoelig). De gezondheidszorg vraagt daarom een specifieke weging van de bovengenoemde aspecten van informatiebeveiliging. Zorginstellingen zijn open organisaties waar patiënten, familie en bezoekers in beginsel toegang hebben. Bij grote zorginstellingen kan het aantal mensen dat in operationele gebieden komt aanzienlijk zijn. Dit maakt de informatiesystemen extra kwetsbaar voor fysieke bedreigingen. De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt naadloze zorg. De informatiebeveiliging moet zich dus uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen. 7

8 Naarmate zorginstellingen voor de levering van zorg steeds afhankelijker worden van informatiesystemen (bijvoorbeeld door toepassen van beslissingsondersteuning en de toenemende toepassing van medische apparatuur met ingebouwde programmatuur), wordt het steeds duidelijker dat gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, ingrijpende klinische gevolgen kunnen hebben. Met verwijzing naar ethische of wettelijke verplichtingen kan het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen worden aangemerkt als nalatigheid. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Beroepen in de Individuele Gezondheidszorg (Wet BIG). Volgens de WGBO sluit de behandelaar met de patiënt een behandelingsovereenkomst, heeft hij/zij daarbij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico's waaraan deze wordt blootgesteld. Voor systemen met patiëntgegevens is hoge beschikbaarheid een eerste eis. Tijd is vaak een kritische factor in de behandeling. Bovendien kan in noodsituaties acuut behoefte zijn aan de informatie. De integriteit van de gegevens is daarbij zeker vereist. Daarnaast moet ter bescherming van de privacy voor alle persoonsgegevens de vertrouwelijkheid worden gewaarborgd. Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist (zie 4.3.4). De resultaten van regelmatige risicobeoordeling moeten worden gebruikt voor het bepalen van de prioriteiten en middelen van de implementerende organisatie. Toepassing van de beheersmaatregelen in de hoofdstukken 5 t.m. 15 dient het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en maakt dat de toegang tot de informatie kan worden ge-audit en verantwoord. De beheersmaatregelen helpen fouten in de zorg te voorkomen die ontstaan door verlies van integriteit in patiëntinformatie. De maatregelen zijn belangrijk voor de continuïteit van zorg. 0.3 Deze Nederlandse norm Deze norm biedt een gemeenschappelijk raamwerk voor het inrichten van de informatiebeveiliging in de gezondheidszorg. Dit gemeenschappelijke kader is nodig met het oog op de samenwerking binnen en tussen verschillende organisaties in de zorg. De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle zorginstellingen en andere organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere zorginstelling is anders. Zelfs wanneer zorginstellingen zich met dezelfde dienstverlening bezighouden kunnen er grote verschillen bestaan. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van de informatieverwerking die wordt gebruikt of in de cultuur van de mensen die er werken. Omdat iedere organisatie anders is, bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke zorginstelling moeten worden toegespitst. Het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd. Deze norm geeft aanwijzingen voor de verantwoordelijke(n) bij het bepalen van specifieke doelstellingen en de realisatie daarvan. In dit kader is het ook van belang dat men rekening houdt met het gegeven dat implementatie van technische maatregelen ten koste kan gaan van de discipline van de gebruikers om zelf verantwoording voor de beveiliging te nemen. De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, maar bevat geen expliciete aanwijzingen voor specifieke technische maatregelen. Bijvoorbeeld niet te lezen zal zijn welke methode van encryptie moet worden toegepast. 8

9 Dit document is bedoeld voor degenen die een rol spelen bij het organiseren en bewaken van de informatiebeveiliging in de zorg. Die rollen kunnen op uiteenlopende wijzen zijn ingevuld en belegd in verschillende betrokken organisaties, zoals individuele zorgverleners, zorginstellingen, verzekeraars, certificerende organisaties en de Inspectie voor de Gezondheidszorg. De norm is in eerste instantie gericht op de leiding van de verschillende organisaties. Deze moet zorgen voor het toewijzen en invullen van de rollen en verantwoordelijkheden voor het organiseren en bewaken van de informatiebeveiliging. De norm richt zich vervolgens tot de degenen die aldus in het informatiebeveiligingsproces zijn betrokken. 9

10 Medische informatica Informatiebeveiliging in de zorg 1 Onderwerp en toepassingsgebied Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. De organisaties waarop de norm zich richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken, zoals netwerkorganisaties en zorgverzekeraars. Het toepassingsgebied omvat de beveiliging van alle typen informatie in en tussen de genoemde organisaties en alle mogelijke vormen waarin de informatie wordt weergegeven, vastgelegd en overgedragen. Om de vereiste waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te bepalen is een risicobeoordeling nodig. Risicobeoordeling is onderdeel van de eerste fase in de cyclus voor het beheersen van de informatiebeveiliging. Door implementatie van de beheersmaatregelen bij elk van de beheersdoelstellingen in deze norm kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. Deze norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de gezondheidszorg. 2 Termen en definities Voor de toepassing van dit document gelden de volgende definities. 2.1 authenticatie verifiëren van beweerde identiteit 2.2 autorisatie toekennen van bevoegdheden 2.3 autorisatieprotocol autorisatietabel, die bepaalt welke categorieën patiëntgegevens voor welke categorieën zorgaanbieders toegankelijk zijn onder welke voorwaarden 2.4 bedreiging potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen [NEN-ISO/IEC 27000:2009] 2.5 bedrijfsmiddel alles dat waarde heeft voor de organisatie [NEN-ISO/IEC 27000:2009] 2.6 beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn OPMERKING Beheersmaatregel wordt ook gebruikt als een synoniem voor waarborging of tegenmaatregel. 10

11 2.7 beleid algehele intentie en richting die formeel door de directie wordt onderschreven 2.8 beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit [NEN-ISO/IEC 27000:2009] 2.9 beveiligingskenmerken aanduidingen die aan gegevens worden toegekend om de beveiliging en het gebruik van de gegevens te kunnen sturen 2.10 derde partij persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien 2.11 dienstverband relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken OPMERKING 1 Het begrip dienstverband is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten. OPMERKING 2 De uitdrukking dienstverband is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten gebeurtenis optreden van of wijziging in een bepaalde combinatie van omstandigheden 2.13 gevolg uitkomst van een gebeurtenis, waardoor doelstellingen worden beïnvloed 2.14 identificatie bepalen van de identiteit van een persoon of andere entiteit 2.15 informatiebeveiliging treffen van maatregelen voor het behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen 11

12 2.16 informatiebeveiligingsgebeurtenis vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe onbekende situatie die relevant kan zijn voor beveiliging [NPR-ISO/IEC TR 18044:2004] 2.17 informatiebeveiligingsincident afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging [NPR-ISO/IEC TR 18044:2004] 2.18 informatiedomein gespecificeerd gebied waarbinnen verantwoordelijkheden voor informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor unieke identificatie van entiteiten 2.19 integriteit eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd [NEN-ISO/IEC 27000:2009] 2.20 IT-voorzieningen elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht 2.21 klant persoon die gebruik maakt van diensten of faciliteiten van de organisatie 2.22 kwetsbaarheid intrinsieke eigenschappen van iets die leiden tot gevoeligheid voor een risicobron, hetgeen kan leiden tot een gebeurtenis met een gevolg 2.23 loggen chronologisch vastleggen van gebeurtenissen 2.24 logging resultaat van het loggen. Dit is een verzamelbegrip voor de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', en de 'logbestanden' waarin deze worden bewaard 12

13 2.25 managementsysteem voor informatiebeveiliging ISMS dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging OPMERKING Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. [NEN-ISO/IEC 27001:2005] 2.26 mobile code interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan desktopcomputer c.q. computerterminal wordt overgedragen OPMERKING 1 Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze programmatuur installeert of activeert. OPMERKING 2 Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. , webpagina s of documenten. en zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro s binnen documenten restrisico risico dat overblijft na risicobehandeling 2.28 patiënt natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders; in de praktijk omvat deze groep alle in Nederland verblijvende personen 2.29 patiëntdossier totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en verzorging van een bepaalde persoon documenteren OPMERKING Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, geen patiëntendossier, o.a. om te benadrukken dat het meestal gaat om het dossier van één patiënt patiëntgegevens medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele patiënten 2.31 richtlijn beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd [NEN-ISO/IEC 27000:2009] 2.32 risico effect van onzekerheid op het behalen van doelstellingen 13

14 2.33 risicoaanvaarding onderbouwd besluit tot het nemen van een bepaald risico 2.34 risicoanalyse proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen 2.35 risicobehandeling proces waarmee een risico wordt aangepast 2.36 risicobeheer gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico s OPMERKING Risicobeheer omvat doorgaans risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie risicobeoordeling gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie 2.38 risicobron element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden 2.39 risico-evaluatie proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is 2.40 risico-identificatie proces waarmee risico's worden opgespoord, herkend en beschreven 2.41 risiconiveau omvang van een risico of combinatie van risico's, uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid 14

15 2.42 verantwoordelijke degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces 2.43 verklaring van toepasselijkheid gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en toepasbaasr zijn op het ISMS van de organisatie OPMERKING Beheersdoelstellingen en beheersmaatregelen zijn gebaseerd op de resultaten en conclusies van risicobeoordeling en risicobehandelingsproces, eisen uit wet- of regelgeving, contractuele verplichtingen en de eisen die de organisatie aan informatiebeveiliging stelt vertrouwelijkheid eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen [NEN-ISO/IEC 27000:2009] 2.45 zorgaanbieder zorgverlener of zorginstelling die actief is in de verlening van zorgdiensten 2.46 zorgconsument natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders. Binnen deze norm wordt hiervoor de term patiënt gebruikt 2.47 zorg(diensten) onderzoek, het geven van raad en het uitvoeren van handelingen op het gebied van de gezondheidszorg 2.48 zorginformatiesysteem informatiesysteem ter ondersteuning van een zorginstelling 2.49 zorginstelling organisatorisch verband zoals bedoeld in de Kwaliteitswet zorginstellingen aangevuld met door de minister van Volksgezondheid, Welzijn en Sport aangewezen organisatorische verbanden 2.50 zorgproces gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgaanbieders 2.51 zorgverlener persoon die is geautoriseerd specifieke zorgdiensten te leveren 3 Structuur en aanwijzingen voor het gebruik van deze norm Deze norm geeft in hoofdstuk 4 aanwijzingen voor de aanpak van informatiebeveiliging in een organisatie volgens een PDCA-beheerscyclus (PLAN, DO, CHECK, ACT). Een overzicht van de stappen in deze cyclus en daarbij behorende documenten is opgenomen in Bijlage A. 15

16 Bestelformulier Stuur naar: NEN Uitgeverij t.a.v. afdeling Marketing Antwoordnummer WB Delft Ja, ik bestel NEN Uitgeverij Postbus GB Delft Vlinderweg AX Delft T (015) F (015) ex. NEN 7510:2010 Ontw. nl Medische informatica - Informatiebeveiliging in de zorg Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via Stel uw vraag aan Klantenservice Gratis nieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze nieuwsbrieven. Gegevens Bedrijf / Instelling T.a.v. O M O V Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: (015) marketing@nen.nl Post: NEN Uitgeverij, t.a.v. afdeling Marketing Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2015, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon (015) , dagelijks van 8.30 tot uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: Normalisatie: de wereld op één lijn. preview