ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Informatievoorziening in de zorg_Jan Willem Schoemaker

•
•
Tools4ever NL
Tools4ever NL

Jan Willem Schoemaker, lid van de NEN7510 normcommissie 'Informatievoorziening in de zorg', vertelt tijdens de Tools4ever zorgdag 2012 over de nieuwste criteria in de laatste versie van NEN 7510. Daarbij spelen met name het toepassen van een managementsysteem en het periodiek uitvoeren van een risicoanalyse een veel belangrijkere rol dan in de vorige versie van NEN7510. Wat voor consequenties heeft dat voor uw zorginstelling en hoe ga je daar mee om?

1 of 17
Downloaded 20 times
Toelichting NEN 7510 Drs. J.W.R. Schoemaker CISSP, Lid NEN normcommissie Informatievoorziening in de zorg 7 juni 2012 Toelichting NEN7510 1
Inhoud • Toelichting informatiebeveiliging • Toelichting NEN 7510 • Wat is nieuw in NEN 7510? • Afsluiting Toelichting NEN 7510 2
Toelichting NEN 7510 3
Toelichting NEN 7510 4
Toelichting informatiebeveiliging Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Toelichting NEN 7510 5
Toelichting NEN 7510 Identificatie en authenticatie Autorisatie Role based Access control Toelichting NEN 7510 6
Waarom informatiebeveiliging? • Patiëntveiligheid • Beschikbaarheid, integriteit, vertrouwelijkheid • Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg) • Wet- en regelgeving (WGBO, WBP, NEN 7510) • Voorkoming van (financiële) schade • Bescherming van het imago van de organisatie Toelichting NEN 7510 7
Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse Toelichting NEN 7510 8
Kenmerken NEN 7510 • Combinatie van: – Organisatorischemaatregelen – Technische maatregelen – Fysieke maatregelen • Gericht op: – Bedrijfsprocessen – Informatievoorziening – Infomatietechnologie – Geautomatiseerd en niet-geautomatiseerd Toelichting NEN 7510 9
Risicoanalyse • Kritieke bedrijfsprocessen/ - Risicoanalyse Inventariseer de informatiemiddelen middelen Bepaal de waarde van de Inventariseer de • Bedreigingen informatiemiddelen en afhankelijkheden ertussen Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen • Kwetsbaarheden Beoordeel de risico’s • Huidige kwaliteitsniveau Bepaal af te dekken risico’s maatregelen Kies de maatregelen • Beoordeling Restrisico aanvaarden? • Conclusies Nee • Aanbevelingen => Ja Informatiebeveilligingsbeleid risicobehandeling Informatiebeveiligingsplan Toelichting NEN 7510 10
Managementsysteem (ISMS) Plan Interested Interested Parties Het ISMS Parties Establish vaststellen Establish Belang- ISMS Belang- hebbenden ISMS hebbenden Het ISMS implemen- Implement and Het ISMS bijhoudenand Maintain Do Implement and teren en uitvoeren Maintain and en verbeteren Act operate the ISMS improve the ISMS operate the ISMS improve the ISMS Het ISMS bewaken Monitor and en beoordelen and Monitor Eisen en review the ISMS Information ISMS review the ISMS verwachtingen Managed Beheerde t.a.v. informatie-security informatie- beveiliging requirements beveiliging Check security and expectations Toelichting NEN 7510 11
Inhoud NEN 7510 • Beveiligingsbeleid • Organisatie van informatiebeveiliging • Beheer van bedrijfsmiddelen • Personeel • Fysieke beveiliging en beveiliging van de omgeving • Beheer van communicatie- en bedieningsprocessen • Toegangsbeveiliging • Verwerving, ontwikkeling en onderhoud van informatiesystemen • Beheer van informatiebeveiligingsincidenten • Bedrijfscontinuïteitsbeheer • Naleving Toelichting NEN 7510 12
Nieuw in NEN 7510? • Nieuwe indeling • Aandachtspunten en aanbevelingen voor implementatie • Specifieke beheersmaatregelen voor de zorgsector Toelichting NEN 7510 13
Nieuw in NEN 7510? • Contact met specifieke belangengroepen • Beveiliging in omgang met klanten • Aanvaardbaar gebruik van bedrijfsmiddelen • Maatregelen tegen ‘mobile code’ • E-commerce / online transacties • Logbestanden administrators / operators • Authenticatie gebruikers externe verbindingen Toelichting NEN 7510 14
Nieuw in NEN 7510? • Meer aandacht voor toegangsbeveiliging (‘Identity & Access Management’), o.a. tweefactor authenticatie bij toegang tot patiëntgegevens • Sleutelbeheer (encryptie) • Beheer van technische kwetsbaarheden Toelichting NEN 7510 15
Consequenties zorginstelling • Nietklakkeloos beheersmaatregelen invoeren, maar: – Risicoanalyse(generiek en specifiek) – Invoeren ISMS – Aandacht besteden aan nieuwe beheersmaatregelen (waar nodig) • Tip: gebruik het Praktijkboek NEN 7510! Toelichting NEN 7510 16
Afsluiting ? ? ? ? ? ? ? ? Toelichting NEN 7510 17

More Related Content

Informatievoorziening in de zorg_Jan Willem Schoemaker

  • 1. Toelichting NEN 7510 Drs. J.W.R. Schoemaker CISSP, Lid NEN normcommissie Informatievoorziening in de zorg 7 juni 2012 Toelichting NEN7510 1
  • 2. Inhoud • Toelichting informatiebeveiliging • Toelichting NEN 7510 • Wat is nieuw in NEN 7510? • Afsluiting Toelichting NEN 7510 2
  • 5. Toelichting informatiebeveiliging Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Toelichting NEN 7510 5
  • 6. Toelichting NEN 7510 Identificatie en authenticatie Autorisatie Role based Access control Toelichting NEN 7510 6
  • 7. Waarom informatiebeveiliging? • Patiëntveiligheid • Beschikbaarheid, integriteit, vertrouwelijkheid • Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg) • Wet- en regelgeving (WGBO, WBP, NEN 7510) • Voorkoming van (financiële) schade • Bescherming van het imago van de organisatie Toelichting NEN 7510 7
  • 8. Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse Toelichting NEN 7510 8
  • 9. Kenmerken NEN 7510 • Combinatie van: – Organisatorischemaatregelen – Technische maatregelen – Fysieke maatregelen • Gericht op: – Bedrijfsprocessen – Informatievoorziening – Infomatietechnologie – Geautomatiseerd en niet-geautomatiseerd Toelichting NEN 7510 9
  • 10. Risicoanalyse • Kritieke bedrijfsprocessen/ - Risicoanalyse Inventariseer de informatiemiddelen middelen Bepaal de waarde van de Inventariseer de • Bedreigingen informatiemiddelen en afhankelijkheden ertussen Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen • Kwetsbaarheden Beoordeel de risico’s • Huidige kwaliteitsniveau Bepaal af te dekken risico’s maatregelen Kies de maatregelen • Beoordeling Restrisico aanvaarden? • Conclusies Nee • Aanbevelingen => Ja Informatiebeveilligingsbeleid risicobehandeling Informatiebeveiligingsplan Toelichting NEN 7510 10
  • 11. Managementsysteem (ISMS) Plan Interested Interested Parties Het ISMS Parties Establish vaststellen Establish Belang- ISMS Belang- hebbenden ISMS hebbenden Het ISMS implemen- Implement and Het ISMS bijhoudenand Maintain Do Implement and teren en uitvoeren Maintain and en verbeteren Act operate the ISMS improve the ISMS operate the ISMS improve the ISMS Het ISMS bewaken Monitor and en beoordelen and Monitor Eisen en review the ISMS Information ISMS review the ISMS verwachtingen Managed Beheerde t.a.v. informatie-security informatie- beveiliging requirements beveiliging Check security and expectations Toelichting NEN 7510 11
  • 12. Inhoud NEN 7510 • Beveiligingsbeleid • Organisatie van informatiebeveiliging • Beheer van bedrijfsmiddelen • Personeel • Fysieke beveiliging en beveiliging van de omgeving • Beheer van communicatie- en bedieningsprocessen • Toegangsbeveiliging • Verwerving, ontwikkeling en onderhoud van informatiesystemen • Beheer van informatiebeveiligingsincidenten • Bedrijfscontinuïteitsbeheer • Naleving Toelichting NEN 7510 12
  • 13. Nieuw in NEN 7510? • Nieuwe indeling • Aandachtspunten en aanbevelingen voor implementatie • Specifieke beheersmaatregelen voor de zorgsector Toelichting NEN 7510 13
  • 14. Nieuw in NEN 7510? • Contact met specifieke belangengroepen • Beveiliging in omgang met klanten • Aanvaardbaar gebruik van bedrijfsmiddelen • Maatregelen tegen ‘mobile code’ • E-commerce / online transacties • Logbestanden administrators / operators • Authenticatie gebruikers externe verbindingen Toelichting NEN 7510 14
  • 15. Nieuw in NEN 7510? • Meer aandacht voor toegangsbeveiliging (‘Identity & Access Management’), o.a. tweefactor authenticatie bij toegang tot patiëntgegevens • Sleutelbeheer (encryptie) • Beheer van technische kwetsbaarheden Toelichting NEN 7510 15
  • 16. Consequenties zorginstelling • Nietklakkeloos beheersmaatregelen invoeren, maar: – Risicoanalyse(generiek en specifiek) – Invoeren ISMS – Aandacht besteden aan nieuwe beheersmaatregelen (waar nodig) • Tip: gebruik het Praktijkboek NEN 7510! Toelichting NEN 7510 16
  • 17. Afsluiting ? ? ? ? ? ? ? ? Toelichting NEN 7510 17