RDC & informatieveiligheid

Maat: px

Weergave met pagina beginnen:

Download "RDC & informatieveiligheid"

Peter Sasbrink
7 jaren geleden
Aantal bezoeken:

1 AGENDA: 1 - ActiZ & Informatieveiligheid 2 - Basisbeveiligingsniveau VVT 3 - RDC & Basisbeveiligingsniveau VVT 4 - Vragen icare 26 september 2013 ActiZ/MH & DdJ 1

2 1 ActiZ & Informatieveiligheid Ondersteuning VVT - begin bij bewustwording e-learning module Veilig omgaan met cliëntinformatie - biedt basisbeveiligingsniveau aan instapmodel voor informatieveiligheid VVTsector Initiatiefnemers en ontwikkelaars: Mark Hoevers en Douwe de Jong gefaciliteerd door ActiZ icare 26 september 2013 ActiZ/MH & DdJ 2

3 AGENDA: 1 - ActiZ & Informatieveiligheid 2 - Basisbeveiligingsniveau VVT 3 - RDC & Basisbeveiligingsniveau VVT 4 - Vragen icare 26 september 2013 ActiZ/MH & DdJ 3

4 2 Basisbeveiligingsniveau VVT Basisbeveiligingsniveau VVT: Een instapmodel voor het inrichten én onderhouden van informatieveiligheid volgens de NEN 7510 in de VVT-sector icare 26 september 2013 ActiZ/MH & DdJ 4

5 2 Basisbeveiligingsniveau VVT Informatie beveiligen = Inventariseren belang informatie t.o.v. zorgprocessen + risico s Classificeren in welke mate belangrijk? Kwetsbaar? Maatregelen selecteren afhankelijk van risicoklasse icare 26 september 2013 ActiZ/MH & DdJ 5

6 2 Basisbeveiligingsniveau VVT Inventariseren + Classificeren => Beveiligingsmaatregelen Op basis van: Q-eisen en risico s: NEN 7510: - bedrijfsprocessen - laag - beheersmaatregelen - wet & regelgeving - gemiddeld - hoog Generieke - zeer hoog risicoanalyse VVT individualiseren tot instellingspecifieke risicoanalyse ActiZ/MH & DdJ icare 26 september

7 2 Basisbeveiligingsniveau VVT Inventariseren + Classificeren => Beveiligingsmaatregelen Inventarisatiedocument Afhankelijkheid bedrijfsproces van informatieobject Wet- en regelgeving Kwetsbaarheid voor dreiging Betrouwbaarheidseisen (BIV) Risico s (kans * schade) icare 26 september 2013 ActiZ/MH & DdJ 7

8 2 Basisbeveiligingsniveau VVT Inventariseren + Classificeren => Beveiligingsmaatregelen Referentiekader voor inschatten betrouwbaarheid en risico s Betrouwbaarheidseis Laag Gem Hoog Zeer hoog Beschikbaarheid: onnodig werkdagen 95% 7 * 24 uur 99% Integriteit: onnodig wenselijk Noodzakelijk onmisbaar Vertrouwelijkheid: Risico s; gevolgen voor bedrijf of cliënt: afgeschermd nauwelijks schade zo concreet mogelijk 99% kantoortijd openbaar met voorbeelden Beperkte schade vertr Imagoverlies; gezondheid in geding zeer vertrouwelijk Faillissement; levensbedreigend icare 26 september 2013 ActiZ/MH & DdJ 8

9 2 Basisbeveiligingsniveau VVT Inventariseren + Classificeren => Beveiligingsmaatregelen Werkdocument NEN 7510 Typeringen Verwijzingen obv risicoanalyse Beheersmaatregelen Uitvoeringsinformatie NEN 7510 H5 t/m H15 BIV, Wbp NEN7512 en kwaliteit BBN-VVT Sectorgeneriek icare 26 september 2013 ActiZ/MH & DdJ 9

10 2 Basisbeveiligingsniveau VVT Inventariseren + Classificeren => Beveiligingsmaatregelen Werkdocument NEN 7510 Typeringen Verwijzingen obv risicoanalyse Beheersmaatregelen Uitvoeringsinformatie NEN 7510 H5 t/m H15 BIV, Wbp NEN7512 en kwaliteit BBN-VVT en Instellingspecifiek IST/SOLL Verbeteracties Sectorgeneriek Instellingspecifiek icare 26 september 2013 ActiZ/MH & DdJ 10

11 2 Basisbeveiligingsniveau VVT Wat levert het op? Laagdrempelig instapmodel Eenvoudig toe te passen Doorbreekt de impasse van waar te beginnen? Geen uitgebreide en tijdrovende risicoanalyses Bespaart kosten en tijd! icare 26 september 2013 ActiZ/MH & DdJ 11

12 1 - ActiZ & Informatieveiligheid 2 - Basisbeveiligingsniveau VVT 3 - RDC & Basisbeveiligingsniveau (BBN) VVT 4 - Vragen icare 26 september 2013 ActiZ/MH & DdJ 12

13 3 - RDC & Basisbeveiligingsniveau Start Informatieveiligheid NEN 7510: het stellen van betrouwbaarheidseisen aan de informatievoorziening o.b.v. de ondersteuning van de bedrijfsprocessen Referentiedomeinenmodel Care: domein is een set van bedrijfsactiviteiten én informatieobjecten o.b.v. maximale samenhang => betrouwbaarheidseisen stellen aan een domein!! icare 26 september 2013 ActiZ/MH & DdJ 13

14 3 - RDC & Basisbeveiligingsniveau BBN: Betrouwbaarheidseisen; bijvoorbeeld: BIV = HGG Betrouwbaarheidseis Laag Gem Hoog Zeer hoog Beschikbaarheid: onnodig werkdagen 95% 7 * 24 uur 99% Integriteit: onnodig wenselijk Noodzakelijk onmisbaar Vertrouwelijkheid: Risico s; gevolgen voor bedrijf of cliënt: afgeschermd nauwelijks schade 99% kantoortijd openbaar Beperkte schade vertr Imagoverlies; gezondheid in geding zeer vertrouwelijk Faillissement; levensbedreigend icare 26 september 2013 ActiZ/MH & DdJ 14

15 3 - RDC & Basisbeveiligingsniveau RDC: domeinen als raamwerk voor betrouwbaarheidseisen Marketing Participatie In/uit zorg Zorgovereenkom st Zorgarrangemen t Einde zorg LGH Missie, Visie, Strategie Sturing en Verantwoording Performance Samenwerking Kennismanagement GGH Zorg Verpleging en Verzorging Zorgleefplan Levering zorg Wonen Verwijzing Verantwoordi ng HGG Innovatie Informatie-uitwisseling Behandeling Therapie Aanvullend Onderzoek Gemak en Welzijn Welzijn Wonen GHH Zorgrelatie Resource Planning Zorgprocesondersteuning Zorglogistiek Zorgplanning Financiële Afhandeling Beheer Bedrijfsondersteuning Inkoop en Juridische Communicatie en Gebouwen en Contractbeheer Voorraadbeheer Ondersteuning Voorlichting Personeel Inventaris Programma- en Kwaliteit, en Financiële ICT Informatiemanag Veiligheid, Arbo Organisatie Administratie ement en Milieu icare 26 september 2013 ActiZ/MH & DdJ 15 RDC versie 1.0 Referentiedomeinenmodel care

16 3 - RDC & Basisbeveiligingsniveau BBN: Informatieobjecten & classificatie betrouwbaarheidseisen icare 26 september 2013 ActiZ/MH & DdJ 16

17 3 - RDC & Basisbeveiligingsniveau RDC: matrix bedrijfsactiviteiten & informatieobjecten icare 26 september 2013 ActiZ/MH & DdJ 17

18 3 - RDC & Basisbeveiligingsniveau RDC en BBN zijn sectorgenerieke modellen en kunnen instellingspecifiek worden toegepast versterken elkaar en zijn onafhankelijk van elkaar toe te passen icare 26 september 2013 ActiZ/MH & DdJ 18

19 3 - RDC & Basisbeveiligingsniveau Hoe verder? BBN-VVT: oktober 2013 start 3 pilots accent ligt op toetsing BBN t.o.v. praktijk inbreng RDC gewenst (vwb ordening informatieobjecten) vanaf januari 2014: in productie regionale informatiebijeenkomsten icare 26 september 2013 ActiZ/MH & DdJ 19

20 Vragen? Of neem contact op met Ruud Zondervan - r.zondervan@actiz.nl Mark Hoevers - mark.hoevers@trustmarq.nl Douwe de Jong - douwe@dejong-itadvies.nl Irene van Duijvendijk - duijvendijk@nictiz.nl icare 26 september 2013 ActiZ/MH & DdJ 20

21 Discussiepunten: 1 Wat zijn de belemmeringen om te beginnen met een structurele aanpak voor informatieveiligheid? Wat kan het RDC bijdragen aan zo n structurele aanpak? 2 Wat is de ervaring met bewustwording t.a.v. informatieveiligheid? Hoe kun je bewustwording stimuleren? 3 Zijn er voorbeelden van IT-gerelateerde veiligheidsincidenten? Hoe wordt daarop gereageerd? icare 26 september 2013 ActiZ/MH & DdJ 21

Vergelijkbare documenten

Het Referentie Domeinen Model GGZ verleden heden - toekomst

Het Referentie Domeinen Model GGZ verleden heden - toekomst Presentatie in het kader van SIG Zorg NGI Erwin Poppen, adviseur informatisering GGZ Drenthe Even voorstellen Erwin Poppen Adviseur informatisering