Een managementsysteem voor NEN 7510 wordt vaak gezien als een dik en wollig handboek waarin alles wat de organisatie doet moet worden beschreven. Het gaat bij een managementsysteem echter om veel meer dan alleen het uitwerken van beleidsstukken en procedures. Het NEN 7510 Information Security Management System (ISMS) moet namelijk helpen bij de bedrijfsvoering van de organisatie en ervoor zorgen dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. In dit artikel vertellen we meer over het opzetten van een ISMS voor NEN 7510:2017.
Lees ook het artikel: ‘Voor wie is NEN 7510 verplicht?’
*Transcriptie onderaan deze pagina
Download vrijblijvend de handige NEN 7510 informatiegids
Wil je aan de slag met de implementatie van NEN 7510? Download dan geheel vrijblijvend de handige NEN 7510 informatiegids met daarin uitleg over deze norm voor informatiebeveiliging en antwoord op alle veel gestelde vragen.
Bouw managementsysteem NEN 7510
Bij het ISMS start je met het in kaart brengen van de context van de organisatie. Deze context bestaat uit een aantal elementen namelijk:
- SWOT en confrontatiematrix of een Business Plan
In een SWOT of Business Plan worden de interne en externe factoren in kaart gebracht die van invloed zijn op de organisatie en specifiek op het verwerken van gezondheidsinformatie (marktontwikkelingen, kansen, bedreigingen).
- Stakeholderanalyse
In de Stakeholderanalyse worden de belanghebbenden bij de organisatie in kaart gebracht en wordt vanuit hun perspectief gekeken naar de eisen en verwachtingen op het gebied van het verwerken van gezondheidsinformatie.
- Risicoanalyse
Bij het inventariseren van de risico’s ligt de nadruk op het in kaart brengen van de risico’s op het gebied van de verwerking en/of opslag van gezondheidsinformatie. Van de geïnventariseerde risico’s wordt de kans en impact bepaald, op basis waarvan risico’s kunnen worden geprioriteerd.
- Scope
In de scope van de NEN 7510:2017 wordt de dienst of het product beschreven, waarbij het een vereiste is om te beschrijven dat de organisatie verantwoordelijk is voor de bescherming van gezondheidsinformatie bij de levering ervan. Naast deze verantwoordelijkheid dient de organisatie de systemen te benoemen waarin de gezondheidsinformatie wordt verwerkt en/of wordt opgeslagen.
- Verklaring van Toepasselijkheid
In de Verklaring van Toepasselijkheid dienen alle beheersmaatregelen vanuit de Annex A van de NEN 7510 te worden opgenomen en dient te worden aangegeven of deze van toepassing en geïmplementeerd zijn. De organisatie dient te inventariseren of de maatregelen gerelateerd zijn aan een wet, contract, uitbesteed proces, interface en/of de risicoanalyse.
Artikeltip: Meer info over de VvT? Lees: ‘Verklaring van Toepasselijkheid binnen NEN 7510:2017‘
Beleid en doelstellingen bepalen
Vanuit de context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en worden de doelstellingen geformuleerd die de organisatie wil bereiken om de gezondheidsinformatie beter te borgen of om meer focus te leggen op de gezondheidssector.
Maatregelen
Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS. In de onderstaande afbeelding is weergegeven wat de correlatie is tussen de verschillende onderwerpen bij de opzet van het managementsysteem.
Beheer managementsysteem
Bij het opzetten van een ISMS voor NEN 7510:2017 is de aanwezigheid van documentatie niet het belangrijkste. De focus dient met name te liggen op de wijze waarop de bedrijfsvoering in beheer is. Dit is voor gezondheidsinformatie van belang, want door continu te werken aan verbetering wordt de kans op een datalek steeds verder geminimaliseerd.
Werkzaamheden die hieraan bij kunnen dragen zijn bijvoorbeeld:
- Het monitoren en meten van de doelstellingen met behulp van KPI’s;
- Monitoren van de naleving van SLA-afspraken door toeleveranciers;
- Intern monitoren van het informatiebeveiligingsbewustzijn van het personeel, met behulp van een incidenten- en een datalekregistratie.
Uit deze methoden komen bevindingen voort, die vervolgens kunnen worden meegenomen in het verbeterplan. Op deze manier blijf je als organisatie in control en kan de kwaliteit voor het borgen van de gezondheidsinformatie steeds verder worden verbeterd.
Artikeltip: Kiezen voor ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?
Voorbeelden ‘in control’
In de onderstaande afbeelding worden een aantal voorbeelden gegeven op welke wijze de organisatie in control kan komen.
Meer informatie over NEN 7510?
Hopelijk heeft dit blog kunnen bijdragen aan een beter beeld van het doel en de werking van het ISMS binnen de NEN 7510:2017 norm. Mocht je meer willen weten over het ISMS of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!
Transcriptie video: Wat is een ISMS?
Wat is een ISMS? Goede vraag! Een ISMS is in goed Nederlands een Information Security Management System. Of in iets beter Nederlands: een Informatiebeveiligingsmanagagmentsysteem. Maar dat gebruikt bijna niemand. ISMS is wat gangbaarder, want technisch werkveld dus Engels jargon. De soms voorkomende misvatting is dat een ISMS, omdat we het over een technisch discipline hebben wat veel IT-bedrijven hanteren, dat dat een softwaretool moet zijn. En dat is niet zo. Een Information Security Management System is een werkwijze om een thema, namelijk informatiebeveiliging, te managen. Als jij die werkwijze bij wijze van spreken kan met een aantal mooie Word- en Excel documenten, dan heb jij geen andere softwaretool nodig dan anders dan wat je bij veel organisaties ziet: SharePoint om documenten in te plaatsen. Het mooie van een digitale tool is wel dat als je een keuze hebt: beschrijf ik een bepaalde manier van werken door een A4’tje te beschrijven of het in een workflow in een tool te zetten? Beide is toegestaan. Dus als jij door middel van een tool het makkelijker uitvoerbaar maakt dan is dat een mooie bonus, maar niet verplicht.