NEN 7510 Information Security management System (ISMS)

In dit artikel vertellen we meer over het opzetten van een Information Security Management System voor NEN 7510:2017.

ISMS NEN 7510
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Een managementsysteem voor NEN 7510 wordt vaak gezien als een dik en wollig handboek waarin alles wat de organisatie doet moet worden beschreven. Het gaat bij een managementsysteem echter om veel meer dan alleen het uitwerken van beleidsstukken en procedures. Het NEN 7510 Information Security Management System (ISMS) moet namelijk helpen bij de bedrijfsvoering van de organisatie en ervoor zorgen dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. In dit artikel vertellen we meer over het opzetten van een ISMS voor NEN 7510:2017.

Bouw managementsysteem NEN 7510

Bij het ISMS start je met het in kaart brengen van de context van de organisatie. Deze context bestaat uit een aantal elementen namelijk:

  • SWOT en confrontatiematrix of een Business Plan
    In een SWOT of Business Plan worden de interne en externe factoren in kaart gebracht die van invloed zijn op de organisatie en specifiek op het verwerken van gezondheidsinformatie (marktontwikkelingen, kansen, bedreigingen).
  • Stakeholderanalyse
    In de Stakeholderanalyse worden de belanghebbenden bij de organisatie in kaart gebracht en wordt vanuit hun perspectief gekeken naar de eisen en verwachtingen op het gebied van het verwerken van gezondheidsinformatie.
  • Risicoanalyse
    Bij het inventariseren van de risico’s ligt de nadruk op het in kaart brengen van de risico’s op het gebied van de verwerking en/of opslag van gezondheidsinformatie. Van de geïnventariseerde risico’s wordt de kans en impact bepaald, op basis waarvan risico’s kunnen worden geprioriteerd.
  • Scope
    In de scope van de NEN 7510:2017 wordt de dienst of het product beschreven, waarbij het een vereiste is om te beschrijven dat de organisatie verantwoordelijk is voor de bescherming van gezondheidsinformatie bij de levering ervan. Naast deze verantwoordelijkheid dient de organisatie de systemen te benoemen waarin de gezondheidsinformatie wordt verwerkt en/of wordt opgeslagen.
  • Verklaring van Toepasselijkheid
    In de Verklaring van Toepasselijkheid dienen alle beheersmaatregelen vanuit de Annex A van de NEN 7510 te worden opgenomen en dient te worden aangegeven of deze van toepassing en geïmplementeerd zijn. De organisatie dient te inventariseren of de maatregelen gerelateerd zijn aan een wet, contract, uitbesteed proces, interface en/of de risicoanalyse.

Beleid en doelstellingen bepalen

Vanuit de context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en worden de doelstellingen geformuleerd die de organisatie wil bereiken om de gezondheidsinformatie beter te borgen of om meer focus te leggen op de gezondheidssector.

Maatregelen

Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS. In de onderstaande afbeelding is weergegeven wat de correlatie is tussen de verschillende onderwerpen bij de opzet van het managementsysteem.

Beheer managementsysteem

Bij het opzetten van een ISMS voor NEN 7510:2017 is de aanwezigheid van documentatie niet het belangrijkste. De focus dient met name te liggen op de wijze waarop de bedrijfsvoering in beheer is. Dit is voor gezondheidsinformatie van belang, want door continu te werken aan verbetering wordt de kans op een datalek steeds verder geminimaliseerd.

Werkzaamheden die hieraan bij kunnen dragen zijn bijvoorbeeld:

  • Het monitoren en meten van de doelstellingen met behulp van KPI’s;
  • Monitoren van de naleving van SLA-afspraken door toeleveranciers;
  • Intern monitoren van het informatiebeveiligingsbewustzijn van het personeel, met behulp van een incidenten- en een datalekregistratie.

Uit deze methoden komen bevindingen voort, die vervolgens kunnen worden meegenomen in het verbeterplan. Op deze manier blijf je als organisatie in control en kan de kwaliteit voor het borgen van de gezondheidsinformatie steeds verder worden verbeterd.

Voorbeelden ‘in control’

In de onderstaande afbeelding worden een aantal voorbeelden gegeven op welke wijze de organisatie in control kan komen.

Meer informatie over NEN 7510?

Hopelijk heeft dit blog kunnen bijdragen aan een beter beeld van het doel en de werking van het ISMS binnen de NEN 7510:2017 norm. Mocht je meer willen weten over het ISMS of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!

Offerte aanvragen

Transcriptie video: Wat is een ISMS? (ISO 27001)

Wat is een ISMS? Goede vraag! Een ISMS is in goed Nederlands een Information Security Management System. Of in iets beter Nederlands: een Informatiebeveiligingsmanagagmentsysteem. Maar dat gebruikt bijna niemand. ISMS is wat gangbaarder, want technisch werkveld dus Engels jargon. De soms voorkomende misvatting is dat een ISMS, omdat we het over een technisch discipline hebben wat veel IT-bedrijven hanteren, dat dat een softwaretool moet zijn. En dat is niet zo. Een Information Security Management System is een werkwijze om een thema, namelijk informatiebeveiliging, te managen. Als jij die werkwijze bij wijze van spreken kan met een aantal mooie Word- en Excel documenten, dan heb jij geen andere softwaretool nodig dan anders dan wat je bij veel organisaties ziet: SharePoint om documenten in te plaatsen.Het mooie van een digitale tool is wel dat als je een keuze hebt: beschrijf ik een bepaalde manier van werken door een A4’tje te beschrijven of het in een workflow in een tool te zetten? Beide is toegestaan. Dus als jij door middel van een tool het makkelijker uitvoerbaar maakt dan is dat een mooie bonus, maar niet verplicht.

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NEN 7510 ISMS implementeren?

Vraag direct een offerte op maat aan!

  • Passend bij jouw organisatie
  • Praktische tips
  • Stappenplan

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields