ISMS NEN 7510Een managementsysteem voor NEN 7510 wordt vaak gezien als een dik en wollig handboek waarin alles wat de organisatie doet moet worden beschreven. Het gaat bij een managementsysteem echter om veel meer dan alleen het uitwerken van beleidsstukken en procedures. Het NEN 7510 Information Security Management System (ISMS) moet namelijk helpen bij de bedrijfsvoering van de organisatie en ervoor zorgen dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. In dit artikel vertellen we meer over het opzetten van een ISMS voor NEN 7510:2017.

Lees ook het artikel: ‘Voor wie is NEN 7510 verplicht?’ 

Bouw managementsysteem NEN 7510

Bij het ISMS start je met het in kaart brengen van de context van de organisatie. Deze context bestaat uit een aantal elementen namelijk:

  • SWOT en confrontatiematrix of een Business Plan
    In een SWOT of Business Plan worden de interne en externe factoren in kaart gebracht die van invloed zijn op de organisatie en specifiek op het verwerken van gezondheidsinformatie (marktontwikkelingen, kansen, bedreigingen).
  • Stakeholderanalyse
    In de Stakeholderanalyse worden de belanghebbenden bij de organisatie in kaart gebracht en wordt vanuit hun perspectief gekeken naar de eisen en verwachtingen op het gebied van het verwerken van gezondheidsinformatie.
  • Risicoanalyse
    Bij het inventariseren van de risico’s ligt de nadruk op het in kaart brengen van de risico’s op het gebied van de verwerking en/of opslag van gezondheidsinformatie. Van de geïnventariseerde risico’s wordt de kans en impact bepaald, op basis waarvan risico’s kunnen worden geprioriteerd.
  • Scope
    In de scope van de NEN 7510:2017 wordt de dienst of het product beschreven, waarbij het een vereiste is om te beschrijven dat de organisatie verantwoordelijk is voor de bescherming van gezondheidsinformatie bij de levering ervan. Naast deze verantwoordelijkheid dient de organisatie de systemen te benoemen waarin de gezondheidsinformatie wordt verwerkt en/of wordt opgeslagen.
  • Verklaring van Toepasselijkheid
    In de Verklaring van Toepasselijkheid dienen alle beheersmaatregelen vanuit de Annex A van de NEN 7510 te worden opgenomen en dient te worden aangegeven of deze van toepassing en geïmplementeerd zijn. De organisatie dient te inventariseren of de maatregelen gerelateerd zijn aan een wet, contract, uitbesteed proces, interface en/of de risicoanalyse.

Artikeltip: Meer info over de VvT? Lees: Verklaring van Toepasselijkheid binnen NEN 7510:2017

Beleid en doelstellingen bepalen

Vanuit de context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en worden de doelstellingen geformuleerd die de organisatie wil bereiken om de gezondheidsinformatie beter te borgen of om meer focus te leggen op de gezondheidssector.

Maatregelen

Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS. In de onderstaande afbeelding is weergegeven wat de correlatie is tussen de verschillende onderwerpen bij de opzet van het managementsysteem.



Beheer managementsysteem

Bij het opzetten van een ISMS voor NEN 7510:2017 is de aanwezigheid van documentatie niet het belangrijkste. De focus dient met name te liggen op de wijze waarop de bedrijfsvoering in beheer is. Dit is voor gezondheidsinformatie van belang, want door continu te werken aan verbetering wordt de kans op een datalek steeds verder geminimaliseerd.

Werkzaamheden die hieraan bij kunnen dragen zijn bijvoorbeeld:

  • Het monitoren en meten van de doelstellingen met behulp van KPI’s;
  • Monitoren van de naleving van SLA-afspraken door toeleveranciers;
  • Intern monitoren van het informatiebeveiligingsbewustzijn van het personeel, met behulp van een incidenten- en een datalekregistratie.

Uit deze methoden komen bevindingen voort, die vervolgens kunnen worden meegenomen in het verbeterplan. Op deze manier blijf je als organisatie in control en kan de kwaliteit voor het borgen van de gezondheidsinformatie steeds verder worden verbeterd.

Artikeltip: Kiezen voor ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?

Voorbeelden ‘in control’

In de onderstaande afbeelding worden een aantal voorbeelden gegeven op welke wijze de organisatie in control kan komen.



Meer informatie over NEN 7510?

Hopelijk heeft dit blog kunnen bijdragen aan een beter beeld van het doel en de werking van de Verklaring van Toepasselijkheid binnen de NEN 7510:2017 norm. Mocht je meer willen weten over de VvT of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!

NEEM CONTACT OP

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl