NEN 7510 (nl) Medische informatica Informatiebeveiliging in de zorg. Nederlandse norm

Vergelijkbare documenten
Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Vervangt NEN 913:1963; NEN 913:1998 Ontw. Nederlandse norm. NEN 913 (nl) Melk en vloeibare melkproducten - Bepaling van de titreerbare zuurtegraad

Vervangt NEN-EN :2000 Ontw. Nederlandse norm. NEN-EN (en)

Nederlandse voornorm NAD-NVN-ENV (nl)

Vervangt NEN-EN :1997; NEN-EN :1999 Ontw. Nederlandse norm. NEN-EN (en)

Voorbeeld. norm NEN-EN Preview. Ontwerp

Voorbeeld. Preview. NEN-IEC /A2 (en; fr) Wijzigingsblad. Nederlandse

Nederlandse norm. NEN 3576 (nl) Beglazing van kozijnen, ramen en deuren Functionele eisen

Vervangt NEN-EN 50182:1994 Ontw. Nederlandse norm. NEN-EN (en)

(en; fr) Matten van isolerend materiaal voor elektrotechnische doeleinden (IEC 61111:1992,MOD,IEC 61111:1992/C1:2000,MOD)

Nederlandse norm. NEN 6578 (nl) Water - Potentiometrische bepaling van het totale gehalte aan totaal fluoride

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

NTA 2581 (nl) Opstellen van meetrapporten volgens NEN Nederlandse technische afspraak ICS ;

Nederlandse norm NEN Dit document mag slechts op een stand-alone PC worden geïnstalleerd. Gebruik op een netwerk is alleen.

Nederlandse norm. NEN 5087/A1 (nl) Inbraakveiligheid van woningen - Bereikbaarheid van dak- en gevelelementen: deuren, ramen en kozijnen

Nederlandse norm. NEN 5754 (nl) Bodem - Berekening van het gehalte aan organische stof volgens de gloeiverliesmethode

Nederlandse praktijkrichtlijn NPR (nl) Evenementen - Hijs- en heftechniek - Veiligheidsfactoren voor hijs- en hefmiddelen

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Soil - Investigation, sampling and analysis of asbestos in soil augustus 2006 ICS

Voorbeeld. norm NEN 2559/A2 Onderhoud van draagbare blustoestellen. Preview. Wijzigingsblad

Vervangt NEN-EN :2001. Nederlandse norm. NEN-EN (en)

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Nederlandse praktijkrichtlijn. NPR-CLC/TR (en) Leidraad voor de toepassing van de Europese norm EN (NEN-EN 50160)

HKZ-certificatieschema > zzp ers in zorg en welzijn

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN /A1 (nl)

Nederlandse norm. NEN (nl) Zetsteen - Deel 2: Zetsteen van cementbeton, zonder interlocking en zonder wapening

Vervangt NEN-EN :1994; NEN-EN :1994/Ontw. A1:1997. Nederlandse norm. NEN-EN (en)

Vervangt NPR 3749:1993; NPR 3749:2004 Ontw. Nederlandse praktijkrichtlijn. NPR 3749 (nl)

Voorbeeld. norm. Preview. NEN-ISO/IEC 18004/C1 (en) Correctieblad

Nederlandse norm NEN-IEC /A2. (en; fr)

Nederlandse norm. NEN-ISO /A1 (en)

Nederlandse norm. NEN 6633/A1 (nl) Water en (zuiverings)slib - Bepaling van het chemisch zuurstofverbruik (CZV)

Nederlandse norm. NEN (nl) Schuldhulpverlening - Deel 2: Eisen aan schuldhulpverleners

Power cables with XLPE insulation and PVC sheath, with special fire performance and having a rated voltage of 0,6/1 kv mei 2004 ICS

Voorbeeld. norm NEN-ISO Preview

Voorbeeld NËN : ISÖ3903. Preview. Nederlandse. Scheepsbouw en maritieme constructies. Gewone rechthoekige scheepsramen (ISO 3903:1993)

Vervangt NEN 6814:1999 Ontw. Nederlandse norm. NEN 6814 (nl)

Fire safety of larger fire compartments - Risk approach juni 2016 ICS

Nederlandse norm. NEN 5706 (nl) Richtlijnen voor de beschrijving van zintuiglijke waarnemingen tijdens de uitvoering van milieukundig bodemonderzoek

Nederlandse norm. NEN-ISO 16039/A1 (en)

Vervangt NEN-EN-IEC :1998. Nederlandse norm. NEN-EN (en)

Vervangt NEN-EN 50248:1998; NEN-EN 50248:1999 Ontw. Nederlandse norm. NEN-EN (en) Kenmerken van DAB-ontvangers. Characteristics of DAB receivers

Vervangt NEN-EN :1998 Ontw.; NEN-EN 50061:1991,deels; NEN-EN 50061:1991/A1:1995,deels; NEN-EN 50061:1991/A1:1995/C1:1995,deels

Nederlandse praktijkrichtlijn. NPR 3471 (nl) Keuze, gebruik, verzorging en onderhoud van kleding met hoge zichtbaarheid

Nederlandse norm. NEN 3140/A1 (nl) Bedrijfsvoering van elektrische installaties Laagspanning. Operation of electrical installations Low voltage

Nederlandse norm. NEN 2025 (nl) Communicatie bij het werken met hijs- en hefwerktuigen. Communication for the guidance of cranes and hoisting gear

Nederlandse norm NEN 4001+C1. (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Voorbeeld. Preview. NPR 13201/A1 (nl) Nederlandse praktijkrichtlijn. Openbare verlichting Kwaliteitscriteria. Public lighting Quality criteria

Nederlandse norm NEN (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Voorbeeld. norm. Preview. NEN 1006/A1 (nl) Wijzigingsblad. Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002)

Ontwerp norm NEN 7909

Nederlandse norm. NEN 8078 (nl) Voorziening voor gas met een werkdruk tot en met 500 mbar - Prestatie-eisen - Bestaande bouw

Vervangt NPR 3637:1994. Nederlandse praktijkrichtlijn NPR 3637

Samen met NEN-ISO 68-1:1999 vervangt deze norm NEN 81:1982. Nederlandse norm NEN-ISO 724

Nederlandse norm. NEN-EN-ISO (nl) Bouwkundige tekeningen - Aanduidingssystemen - Deel 2: Ruimtenamen en -nummers (ISO :1998)

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Nederlandse norm. NEN-ISO /A1 (en)

Voorbeeld. norm NEN 1006/A3 Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002) Preview. Ontwerp. Publicatie uitsluitend voor commentaar

Nederlandse norm. NEN-EN (en)

Vervangt NEN 5466:1999/A2:2003; NEN 5466:1999/Ontw. A3:2004

Nederlandse norm. NTA 8013 (nl) Procedure voor het controleren van PV-systemen. Procedure for checking PV-systems. ICS 27.

Voorbeeld. Preview. Maattoleranties voor de bouw. Begripsomschrijvingen en algemene regels

Voorbeeld. Preview. NEN-EN-ISO (en) Dit document is een voorbeeld van NEN / This document is a preview by NEN. Nederlandse

Verlichtingsarmaturen - Deel 2-22: Bijzondere eisen voor verlichtingsarmaturen voor noodverlichting oktober 2016 ICS

Nederlands certificatieschema. NCS 7201 (nl) ICS ; november 2017

NEN 1010+C1/A1+C1 (nl)

Voorbeeld. Preview. norm. Correctieblad

Voorbeeld. norm. Preview. NEN 2535/C1 (nl) Correctieblad

Vervangt NEN-EN 951-1:1993 Ontw.; NEN-EN 25:1976. Nederlandse norm. NEN-EN 951 (en) Deurbladen - Meetmethode van hoogte, breedte, dikte en haaksheid

Veiligheidsmodule. HKZ-certificatieschema Instellingen voor geestelijke gezondheidszorg > Versie 2011

Vervangt NPR 3596:2000. Nederlandse praktijkrichtlijn. NPR 3596 (nl)

Nederlandse Technische Afspraak. NTA (nl) Evenementen - Brandvoortplanting en rookproductie van zeildoek Preview

Nederlandse norm NEN-ISO (en) Rubber, vulcanized - Determination of creep in compression or shear (ISO 8013:2012,IDT)

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Nederlandse technische afspraak. NTA (nl) Maatschappelijke zorg - Informatiearchitectuur in de jeugdsector - Deel 0: Algemene bepalingen

NEN VERKLARINGEN. bevat. het model van de overeenstemmingsverklaring. in het kader van de Laagspanningsrichtlijn

Nederlandse norm. NEN-EN-ISO /A2 (nl)

Nederlandse norm. NEN 6088 (nl) Brandveiligheid van gebouwen - Vluchtwegaanduiding - Eigenschappen en bepalingsmethoden

Voorbeeld. Preview NEDERLANDSE NORM UDC

Nederlandse norm. NEN-EN-ISO 6165 (nl) Grondverzetmachines Basistypen Woordenlijst (ISO 6165:1997)

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Transcriptie:

NORM NORM iew Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. eld be Medische informatica Informatiebeveiliging in de zorg ev Pr or Vo NEN 7510 (nl) NEN Postbus 5059 2600 GB Delft Vlinderweg 6 2623 AX Delft T +31 (0)15 2 690 390 F +31 (0)15 2 690 190 info@nen.nl www.nen.nl Nederlandse norm Vervangt NEN 7510:2004; NEN 7510:2010 Ontw.; NEN 7511-1:2005; NEN 7511-2:2005; NEN 7511-3:2005 ICS 11.020; 35.240.80; 03.120.10 Oktober 2011 Normalisatie: de wereld op één lijn. 09-11 [106] NEN_Norm_NEN7510_omslag_def.indd 1 11-10-11 12:41

Nederlandse norm NEN 7510 (nl) Medische informatica - Informatiebeveiliging in de zorg Health Informatics - Information security management in healthcare Vervangt NEN 7510:2004; NEN 7510:2010 Ontw.; NEN 7511-1:2005; NEN 7511-2:2005; NEN 7511-3:2005 ICS 03.120.10; 11.020; 35.240.80 oktober 2011

Normcommissie 303 006 "Informatievoorziening in de zorg" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven. 2011 Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) 2 690 390, Fax (015) 2 690 190

Inhoud Voorwoord... 5 0 Inleiding... 6 0.1 Informatiebeveiliging... 6 0.2 Specifiek voor de gezondheidszorg... 6 0.3 Deze Nederlandse norm... 7 1 Onderwerp en toepassingsgebied... 8 2 Termen en definities... 8 3 Risicomanagement en opbouw van deze norm... 14 3.1 Risicomanagement... 14 3.1.1 Overzicht risicomanagement... 14 3.1.2 Risicobeoordeling... 14 3.1.3 Risicobehandeling... 15 3.2 Opbouw van deze norm... 15 4 Aanpak van de informatiebeveiliging... 17 4.1 Managementsysteem voor informatiebeveiliging: ISMS... 17 4.2 Directieverantwoordelijkheid... 19 4.2.1 Toewijzen verantwoordelijkheden... 19 4.2.2 Actieve betrokkenheid... 19 4.2.3 Stuurgroep... 20 4.3 PLAN: het ISMS vaststellen... 20 4.4 DO: het ISMS implementeren en uitvoeren... 22 4.4.1 Implementeren en uitvoeren ISMS... 22 4.4.2 Beschikbaar stellen van middelen... 23 4.4.3 Training, bewustzijn en bekwaamheid voor het ISMS... 23 4.5 CHECK: het ISMS monitoren en beoordelen... 24 4.5.1 Het ISMS monitoren en beoordelen... 24 4.5.2 Interne ISMS-audits... 25 4.5.3 Directiebeoordeling van het ISMS... 25 4.6 ACT: het ISMS onderhouden en verbeteren... 26 4.6.1 Algemeen... 26 4.6.2 Continue verbetering... 27 4.6.3 Corrigerende maatregelen... 27 4.6.4 Preventieve maatregelen... 27 4.7 Documentatie van het ISMS... 28 4.7.1 Algemeen... 28 4.7.2 Beheersing van documenten... 28 4.7.3 Beheersing van registraties... 29 5 Beveiligingsbeleid... 29 5.1 Informatiebeveiligingsbeleid... 29 5.1.1 Beleidsdocument voor informatiebeveiliging... 29 5.1.2 Beoordeling van het informatiebeveiligingsbeleid... 31 6 Organisatie van informatiebeveiliging... 33 6.1 Interne organisatie... 33 6.1.1 Betrokkenheid van de directie bij informatiebeveiliging... 33 6.1.2 Coördinatie van informatiebeveiliging... 34 6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging... 34 6.1.4 Goedkeuringsproces voor middelen voor de informatievoorziening... 35 6.1.5 Geheimhoudingsovereenkomst... 35 6.1.6 Contact met overheidsinstanties... 36 6.1.7 Contact met speciale belangengroepen... 37 6.1.8 Onafhankelijke beoordeling van informatiebeveiliging... 37 6.2 Externe partijen... 38 6.2.1 Identificatie van risico's die betrekking hebben op externe partijen... 38 6.2.2 Beveiliging in de omgang met klanten... 40 6.2.3 Beveiliging in overeenkomsten met een derde partij... 41 1

7 Beheer van bedrijfsmiddelen... 44 7.1 Verantwoordelijkheid voor bedrijfsmiddelen... 44 7.1.1 Inventarisatie van bedrijfsmiddelen... 44 7.1.2 Verantwoordelijken voor de bedrijfsmiddelen... 45 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen... 46 7.2 Classificatie van informatie... 46 7.2.1 Richtlijnen voor classificatie... 46 7.2.2 Labeling en verwerking van informatie... 47 8 Personeel... 48 8.1 Voorafgaand aan het dienstverband... 48 8.1.1 Rollen en verantwoordelijkheden... 48 8.1.2 Screening... 49 8.1.3 Arbeidsvoorwaarden... 50 8.2 Tijdens het dienstverband... 51 8.2.1 Directieverantwoordelijkheid... 51 8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging... 52 8.2.3 Disciplinaire maatregelen... 52 8.3 Beëindiging of wijziging van dienstverband... 53 8.3.1 Beëindiging van verantwoordelijkheden... 53 8.3.2 Retournering van bedrijfsmiddelen... 53 8.3.3 Intrekken van toegangsrechten... 54 9 Fysieke beveiliging en beveiliging van de omgeving... 54 9.1 Beveiligde ruimten... 55 9.1.1 Fysieke beveiliging van de omgeving... 55 9.1.2 Fysieke toegangsbeveiliging... 56 9.1.3 Beveiliging van kantoren, ruimten en faciliteiten... 56 9.1.4 Bescherming tegen bedreigingen van buitenaf... 57 9.1.5 Werken in beveiligde ruimten... 57 9.1.6 Openbare toegang en gebieden voor laden en lossen... 57 9.2 Beveiliging van apparatuur... 58 9.2.1 Plaatsing en bescherming van apparatuur... 58 9.2.2 Nutsvoorzieningen... 59 9.2.3 Beveiliging van kabels... 60 9.2.4 Onderhoud van apparatuur... 60 9.2.5 Beveiliging van apparatuur buiten het terrein... 61 9.2.6 Veilig verwijderen of hergebruiken van apparatuur... 61 9.2.7 Verwijdering van bedrijfseigendommen... 62 10 Beheer van communicatie- en bedieningsprocessen... 62 10.1 Bedieningsprocedures en verantwoordelijkheden... 62 10.1.1 Gedocumenteerde bedieningsprocedures... 62 10.1.2 Wijzigingsbeheer... 63 10.1.3 Functiescheiding... 64 10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie... 64 10.2 Beheer van de dienstverlening door een derde partij... 65 10.2.1 Dienstverlening... 65 10.2.2 Controle en beoordeling van dienstverlening door een derde partij... 65 10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij... 66 10.3 Systeemplanning en -acceptatie... 67 10.3.1 Capaciteitsbeheer... 67 10.3.2 Systeemacceptatie... 67 10.4 Bescherming tegen kwaadaardige programmatuur en mobile code... 68 10.4.1 Maatregelen tegen kwaadaardige programmatuur... 68 10.4.2 Maatregelen tegen mobile code... 70 10.5 Back-up en herstel... 70 10.5.1 Reservekopieën (back-ups)... 70 10.6 Beheer van netwerkbeveiliging... 71 10.6.1 Maatregelen voor netwerken... 71 10.6.2 Beveiliging van netwerkdiensten... 72 10.7 Behandeling van media... 72 10.7.1 Beheer van verwijderbare media... 73 2

10.7.2 Verwijdering van media... 73 10.7.3 Procedures voor de behandeling van informatie... 74 10.7.4 Beveiliging van systeemdocumentatie... 74 10.8 Uitwisseling van informatie... 75 10.8.1 Beleid en procedures voor informatie-uitwisseling... 75 10.8.2 Uitwisselingsovereenkomsten... 77 10.8.3 Fysiek transport van media... 78 10.8.4 Elektronische berichtenuitwisseling... 78 10.8.5 Systemen voor bedrijfsinformatie... 79 10.9 Diensten voor e-commerce... 80 10.9.1 E-commerce... 80 10.9.2 Onlinetransacties... 81 10.9.3 Openbaar beschikbare informatie... 82 10.10 Controle... 82 10.10.1 Aanmaken audit-logbestanden... 83 10.10.2 Controle van systeemgebruik... 83 10.10.3 Bescherming van informatie in logbestanden... 85 10.10.4 Logbestanden van administrators en operators... 85 10.10.5 Registratie van storingen... 86 10.10.6 Synchronisatie van systeemklokken... 86 11 Toegangsbeveiliging... 87 11.1 Bedrijfseisen ten aanzien van toegangsbeheersing... 87 11.1.1 Toegangsbeleid... 87 11.2 Beheer van toegangsrechten van gebruikers... 89 11.2.1 Registratie van gebruikers... 89 11.2.2 Beheer van speciale bevoegdheden... 90 11.2.3 Beheer van gebruikerswachtwoorden... 90 11.2.4 Beoordeling van toegangsrechten van gebruikers... 91 11.3 Verantwoordelijkheden van gebruikers... 91 11.3.1 Gebruik van wachtwoorden... 91 11.3.2 Onbeheerde gebruikersapparatuur... 92 11.3.3 Clear desk - en clear screen -beleid... 93 11.4 Toegangsbeheersing voor netwerken... 93 11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten... 93 11.4.2 Authenticatie van gebruikers bij externe verbindingen... 94 11.4.3 Identificatie van netwerkapparatuur... 95 11.4.4 Bescherming op afstand van poorten voor diagnose en configuratie... 95 11.4.5 Scheiding van netwerken... 95 11.4.6 Beheersmaatregelen voor netwerkverbindingen... 96 11.4.7 Beheersmaatregelen voor netwerkroutering... 97 11.5 Toegangsbeveiliging voor besturingssystemen... 97 11.5.1 Beveiligde inlogprocedures... 97 11.5.2 Gebruikersindentificatie en -authenticatie... 98 11.5.3 Systemen voor wachtwoordbeheer... 99 11.5.4 Gebruik van systeemhulpmiddelen... 100 11.5.5 Time-out van sessies... 100 11.5.6 Beperking van verbindingstijd... 101 11.6 Toegangsbeheersing voor toepassingen en informatie... 101 11.6.1 Beheersen van toegang tot informatie... 101 11.6.2 Isoleren van gevoelige systemen... 102 11.7 Draagbare computers en telewerken... 102 11.7.1 Draagbare computers en communicatievoorzieningen... 102 11.7.2 Telewerken... 103 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen... 104 12.1 Beveiligingseisen voor informatiesystemen... 105 12.1.1 Analyse en specificatie van beveiligingseisen... 105 12.2 Correcte verwerking in toepassingen... 106 12.2.1 Validatie van invoergegevens... 106 12.2.2 Beheersing van interne gegevensverwerking... 107 12.2.3 Integriteit van berichten... 108 3

12.2.4 Validatie van uitvoergegevens... 108 12.3 Cryptografische beheersmaatregelen... 109 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen... 109 12.3.2 Sleutelbeheer... 110 12.4 Beveiliging van systeembestanden... 111 12.4.1 Beheersing van operationele programmatuur... 111 12.4.2 Bescherming van testdata... 112 12.4.3 Toegangsbeheersing voor broncode van programmatuur... 113 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen... 114 12.5.1 Procedures voor wijzigingsbeheer... 114 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem... 115 12.5.3 Restricties op wijzigingen in programmatuurpakketten... 115 12.5.4 Informatielekken... 116 12.5.5 Uitbestede ontwikkeling van programmatuur... 116 12.6 Beheer van technische kwetsbaarheden... 117 12.6.1 Beheersing van technische kwetsbaarheden... 117 13 Beheer van informatiebeveiligingsincidenten... 118 13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken... 118 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen... 118 13.1.2 Rapportage van zwakke plekken in de beveiliging... 120 13.2 Beheer van informatiebeveiligingsincidenten en -verbeteringen... 120 13.2.1 Verantwoordelijkheden en procedures... 120 13.2.2 Leren van informatiebeveiligingsincidenten... 121 13.2.3 Verzamelen van bewijsmateriaal... 122 14 Bedrijfscontinuïteitsbeheer... 123 14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer... 123 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer... 123 14.1.2 Bedrijfscontinuïteit en risicobeoordeling... 124 14.1.3 Continuïteitsplannen en informatievoorziening... 124 14.1.4 Kader voor de bedrijfscontinuïteitsplanning... 125 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen... 126 15 Naleving... 127 15.1 Naleving van wettelijke voorschriften... 127 15.1.1 Identificatie van toepasselijke wetgeving... 127 15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)... 128 15.1.3 Bescherming van bedrijfsdocumenten... 129 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens... 130 15.1.5 Voorkomen van misbruik van IT-voorzieningen... 130 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen... 131 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving... 131 15.2.1 Naleving van beveiligingsbeleid en -normen... 131 15.2.2 Controle op technische naleving... 132 15.3 Overwegingen bij audits van informatiesystemen... 132 15.3.1 Beheersmaatregelen voor audits van informatiesystemen... 133 15.3.2 Bescherming van audithulpmiddelen voor audits van informatiesystemen... 133 Bijlage A (informatief) Stappen en documenten van het Information Security Management System... 134 Bijlage B (informatief) Vergelijkingstabel NEN 7510:2004, NEN 7510:2011 en NEN-EN-ISO 27799:2008... 138 Bijlage C (informatief) Informatie over interne audits... 142 Bijlage D (informatief) Verband tussen NEN-ISO/IEC 27001 en NEN 7510:2011... 144 Bibliografie... 145 4

Voorwoord Deze Nederlandse norm komt als herziening in de plaats van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-1:2005, NEN 7511-2:2005 en NEN 7511-3:2005. De herziene norm vormt tevens de Nederlandse weergave van de Europese en internationale norm NEN-EN-ISO 27799:2008. Die norm geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging ISO/IEC 27002:2005 in de gezondheidszorg en verwijst naar ISO/IEC 27001 voor het bijbehorende managementsysteem. De Code voor informatiebeveiliging vormde indertijd ook de basis voor NEN 7510:2004. In deze herziening is de meest recente versie van NEN-ISO/IEC 27002 als startpunt genomen, zijn de aanwijzingen en aanscherpingen uit NEN-EN-ISO 27799 daarop aangebracht voor de Nederlandse situatie en is waar nodig aanvullende tekst uit de eerdere versie van NEN 7510 en NEN 7511 opgenomen. Verder besteedt deze herziene norm nu uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicomanagement dat daar deel van uitmaakt. Hoofdstuk 4, over de aanpak van de informatiebeveiliging, volgt hierin NEN-EN-ISO 27799, met dien verstande dat zoveel mogelijk wordt aangesloten bij NEN-ISO/IEC 27001. Hoofdstuk 4 vormt aldus het normatieve raamwerk van de herziene NEN 7510. Hoofdstuk 3 geeft aanwijzingen voor het gebruik van deze norm en geeft uitleg over de verdere structuur van dit document. Hoofdstuk 4 behandelt het proces van inrichting en instandhouding van het Information Security Management System (ISMS). De beheersmaatregelen in de hoofdstukken 5 t.m. 15 geven vervolgens invulling aan de informatiebeveiliging zelf. Daarbij zijn aandachtspunten en aanbevelingen voor implementatie opgenomen om de beheersmaatregelen in praktijk te brengen. De aandachtspunten en aanbevelingen zijn niet normatief. In de hoofdstukken met beheersmaatregelen zijn indeling en nummering gelijk gehouden aan die van NEN-ISO/IEC 27002. Ten opzichte van NEN 7510:2004 en NEN 7511:2005 betekent dit dat hoofdstuk 15 over beveiligingsincidenten nu als hoofdstuk 13 is opgenomen en dat de hoofdstukken over Continuïteitsbeheer en Naleving een plaats zijn opgeschoven naar respectievelijk 14 en 15. Bijlage B laat zien waar de beheersmaatregelen uit NEN 7510:2004 in deze herziene norm zijn terug te vinden. De nu voorliggende NEN 7510 komt met bovenstaande ingrepen tegemoet aan een veelheid van wensen vanuit de eerste zes jaren ervaring met de norm in Nederland. Uitgangspunt is nu het continue managementsysteem: met de risicoanalyse bepaalt een organisatie aan de hand van onderkende bedreigingen een passende set maatregelen; door het inrichten van een managementsysteem herhaalt de organisatie regelmatig delen van de risicoanalyse en houdt daarmee de set maatregelen op peil of verbetert die. Met het centraal stellen van risicoanalyse en managementsysteem sluit de norm aan bij de genoemde internationale sectoroverstijgende normen op dit gebied (de 'code voor informatiebeveiliging ). 5

0 Inleiding 0.1 Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Dit is vooral belangrijk in de steeds nauwer verweven maatschappij. Door deze toenemende verwevenheid wordt informatie blootgesteld aan een toenemend aantal en breder scala van bedreigingen en zwakke plekken. Informatie kan in verschillende vormen voorkomen. De informatie kan onder meer zijn afgedrukt of geschreven op papier, elektronisch zijn opgeslagen, per post of via elektronische media worden verzonden, op film worden getoond of mondeling worden uitgewisseld. Informatie behoort altijd op geschikte wijze te worden beschermd, rekening houdend met de vorm of de wijze waarop deze wordt gedeeld of opgeslagen. Verstoringen in de informatievoorziening en schade als gevolg daarvan kunnen worden voorkomen of beperkt door een geschikte set beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. De keuze van maatregelen voor informatiebeveiliging houdt een afweging in van risico s, kosten en praktische mogelijkheden. Deze factoren veranderen voortdurend. De afweging zal dan ook telkens opnieuw moeten worden gemaakt. Informatiebeveiliging vereist dan ook een besturingsproces. 0.2 Specifiek voor de gezondheidszorg Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatievoorziening ( een overal bereikbaar patiëntdossier ) met bijzondere risico s (soms levensbedreigend, zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van de bovengenoemde aspecten van informatiebeveiliging. Zorginstellingen zijn open organisaties waar patiënten, familie en bezoekers in beginsel toegang hebben. Bij grote zorginstellingen kan het aantal mensen dat in operationele gebieden komt aanzienlijk zijn. Dit maakt de informatiesystemen in de zorg extra kwetsbaar. De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt naadloze zorg. De informatiebeveiliging moet zich dus uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen. Naarmate zorginstellingen voor de levering van zorg steeds afhankelijker worden van informatiesystemen (bijvoorbeeld door toepassen van beslissingsondersteuning en de toenemende toepassing van medische apparatuur met ingebouwde programmatuur), wordt het steeds duidelijker dat gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, ingrijpende klinische gevolgen kunnen hebben. Met verwijzing naar ethische of wettelijke verplichtingen kan het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen worden aangemerkt als nalatigheid. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënt een behandelingsovereenkomst, heeft hij/zij daarbij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan. Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico's waaraan deze wordt blootgesteld. Voor systemen met patiëntgegevens is hoge beschikbaarheid een eerste eis. Tijdigheid van informatie is vaak een kritische factor voor de juiste zorg. Bij spoedeisende zorg kan een extreem hoge eis aan tijdigheid moeten worden gesteld, wat specifieke aandacht vraagt voor het tegelijkertijd waarborgen van de 6

vertrouwelijkheid. Integriteit van de gegevens is ook zeker vereist. Verder behoort ter bescherming van de privacy voor alle persoonsgegevens de vertrouwelijkheid te worden gewaarborgd. Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor het bepalen van de prioriteiten en noodzakelijke middelen van de implementerende organisatie. Toepassing van de relevante beheersmaatregelen in de hoofdstukken 5 tot en met 15 dient het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en maakt dat de omgang met de informatie kan worden ge-audit en verantwoord. De beheersmaatregelen kunnen helpen de kans op fouten in de zorg die ontstaan door verlies van integriteit in patiëntinformatie te verminderen. Brede toepassing van norm en maatregelen zijn belangrijk voor de continuïteit van zorg. 0.3 Deze Nederlandse norm Deze norm biedt een gemeenschappelijk kader voor het inrichten van de informatiebeveiliging in de gezondheidszorg. Dit gemeenschappelijke kader is nodig met het oog op de samenwerking binnen en tussen verschillende organisaties in de zorg. De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is anders. Zelfs wanneer organisaties zich met dezelfde dienstverlening bezighouden kunnen er grote verschillen bestaan. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van de informatieverwerking die wordt gebruikt of in de cultuur van de mensen die er werken. Omdat iedere organisatie anders is, bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatie moeten worden toegespitst. Het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd. Deze norm geeft de verantwoordelijke(n) aanwijzingen bij het bepalen van doelstellingen en een afgewogen realisatie. De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, maar bevat geen expliciete aanwijzingen voor specifieke technische maatregelen. Bijvoorbeeld niet te lezen zal zijn welke methode van encryptie moet worden toegepast. Dit document is bedoeld voor degenen die een rol spelen bij het organiseren en bewaken van de informatiebeveiliging in de zorg. Die rollen kunnen op uiteenlopende wijzen zijn ingevuld en belegd in verschillende betrokken organisaties, zoals individuele zorgverleners, zorginstellingen, (regionale) netwerkorganisaties, verzekeraars, certificerende organisaties en de Inspectie voor de Gezondheidszorg. De norm is in eerste instantie gericht op de leiding van de verschillende organisaties. Deze moet zorgen voor het toewijzen en invullen van de rollen en verantwoordelijkheden voor het organiseren en bewaken van de informatiebeveiliging. De norm richt zich vervolgens tot de degenen die aldus in het informatiebeveiligingsproces zijn betrokken. 7

Medische informatica Informatiebeveiliging in de zorg 1 Onderwerp en toepassingsgebied Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een Information Security Management System (ISMS). De organisaties waarop de norm zich richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken. Het toepassingsgebied omvat de beveiliging van alle typen informatie in en informatie-uitwisseling tussen de genoemde organisaties en alle mogelijke vormen waarin de informatie wordt weergegeven, vastgelegd en overgedragen. Om de vereiste waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te bepalen is een risicobeoordeling nodig. In de cyclus voor het beheersen van de informatiebeveiliging maakt risicobeoordeling onderdeel uit van de eerste fase. Door implementatie van het ISMS inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen in deze norm kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. Deze norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de gezondheidszorg. 2 Termen en definities Voor de toepassing van dit document gelden de volgende definities. 2.1 authenticatie verifiëren van beweerde identiteit 2.2 autorisatie toekennen van bevoegdheden 2.3 bedreiging potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen [NEN-ISO/IEC 27000:2009] 2.4 bedrijfsmiddel alles dat waarde heeft voor de organisatie [NEN-ISO/IEC 27000:2009] 2.5 beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn OPMERKING Beheersmaatregel wordt ook gebruikt als een synoniem voor waarborging of tegenmaatregel. 2.6 beleid algehele intentie en richting die formeel door de directie wordt onderschreven 8

2.7 beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit [NEN-ISO/IEC 27000:2009] 2.8 besturingssysteem programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten aanbiedt om andere programma's uit te voeren OPMERKING Het besturingssysteem zorgt onder meer voor het starten en beëindigen van andere programma's en het regelt de toegang tot de hardware. Andere programma s maken gebruik van de ondersteuning van het besturingssysteem. Zo kan een besturingssysteem de toegang en de autorisatie van programmatuur en gebruikers faciliteren. Het besturingssysteem vormt zo een laag tussen de hardware van een computer en de toepassingsprogrammatuur en gebruikers. 2.9 beveiligingskenmerken aanduidingen die aan gegevens worden toegekend om de beveiliging en het gebruik van de gegevens te kunnen sturen 2.10 derde partij persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien 2.11 dienstverband relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken OPMERKING 1 Het begrip dienstverband is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten. OPMERKING 2 De uitdrukking dienstverband is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten. 2.12 directie hoogst verantwoordelijke van een organisatie 2.13 gebeurtenis optreden van of wijziging in een bepaalde combinatie van omstandigheden [NPR-ISO Guide 73:2009] 2.14 gevolg uitkomst van een gebeurtenis, waardoor doelstellingen worden beïnvloed [NPR-ISO Guide 73:2009] 2.15 identificatie bepalen van de identiteit van een persoon of andere entiteit 9

2.16 informatiebeveiliging behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen [NEN-ISO/IEC 27001:2005] 2.17 informatiebeveiligingsgebeurtenis vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe onbekende situatie die relevant kan zijn voor beveiliging [NPR-ISO/IEC TR 18044:2004] 2.18 informatiebeveiligingsincident afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging [NPR-ISO/IEC TR 18044:2004] 2.19 informatiedomein gespecificeerd gebied waarbinnen verantwoordelijkheden voor informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor unieke identificatie van entiteiten 2.20 integriteit eigenschap dat de juistheid en volledigheid van bedrijfsmiddelen wordt beschermd [NEN-ISO/IEC 27000:2009] 2.21 informatievoorziening elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht 2.22 klant persoon die gebruik maakt van diensten of faciliteiten van de organisatie 2.23 kwetsbaarheid intrinsieke eigenschappen van iets die leiden tot gevoeligheid voor een risicobron, hetgeen kan leiden tot een gebeurtenis met een gevolg [NPR-ISO Guide 73:2009] 2.24 loggen chronologisch vastleggen van gebeurtenissen 2.25 logging resultaat van het loggen. Dit is een verzamelbegrip voor de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', en de 'logbestanden' waarin deze worden bewaard 10

2.26 managementsysteem voor informatiebeveiliging ISMS dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging OPMERKING Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. [NEN-ISO/IEC 27001:2005] 2.27 medische apparatuur apparatuur die wordt gebruikt als hulpmiddel voor een zorgproces OPMERKING 1 Dit omvat apparatuur voor diagnostiek, monitoring, behandeling en verzorging. Het gebruik kan binnen of buiten een zorginstelling plaatsvinden door zorgverleners of anderen. OPMERKING 2 Apparatuur die bedoeld is voor het zorgproces valt onder de Europese richtlijn Medische Hulpmiddelen. Deze definitie omvat ook apparatuur die niet bedoeld is voor het zorgproces, maar er wel voor wordt gebruikt. 2.28 mobile code interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan desktopcomputer c.q. computerterminal wordt overgedragen OPMERKING 1 Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze programmatuur installeert of activeert. OPMERKING 2 Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. e-mail, webpagina s of documenten. en zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro s binnen documenten. 2.29 patiënt natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders; in de praktijk omvat deze groep alle in Nederland verblijvende personen 2.30 patiëntdossier totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en verzorging van een bepaalde persoon documenteren OPMERKING Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, geen patiëntendossier, o.a. om te benadrukken dat het meestal gaat om het dossier van één patiënt. 2.31 patiëntgegevens medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele patiënten 2.32 restrisico risico dat overblijft na risicobehandeling [NPR-ISO Guide 73:2009] 11

Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer 10214 2600 WB Delft NEN Standards Products & Services Postbus 5059 2600 GB Delft Vlinderweg 6 2623 AX Delft Ja, ik bestel ex. NEN 7510:2011 nl Medische informatica - Informatiebeveiliging in de zorg 0.00 T (015) 2 690 390 F (015) 2 690 271 www.nen.nl/normshop Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via www.nen.nl/normshop Gratis e-mailnieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze e-mailnieuwsbrieven. www.nen.nl/nieuwsbrieven Gegevens Bedrijf / Instelling T.a.v. O M O V E-mail Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: 015 2 690 271 E-mail: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2018, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon 015 2 690 391, dagelijks van 8.30 tot 17.00 uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: www.nen.nl/leveringsvoorwaarden. LEREN, WERKEN EN GROEIEN MET NEN preview - 2018

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback