Inhoud

• Voorwoord

• 0 Inleiding

• 1 Onderwerp en toepassingsgebied

• 2 Normatieve verwijzingen

• 3 Termen en definities

• 4 Structuur van de paragrafen

• 5 Informatiebeveiligingsbeleid

  • 5.1 Aansturing door de directie van de informatiebeveiliging

    • 5.1.1 Beleidsregels voor informatiebeveiliging

    • 5.1.2 Beoordeling van het informatiebeveiligingsbeleid

• 6 Organiseren van informatiebeveiliging

  • 6.1 Interne organisatie

    • 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging

    • 6.1.2 Scheiding van taken

    • 6.1.3 Contact met overheidsinstanties

    • 6.1.4 Contact met speciale belangengroepen

    • 6.1.5 Informatiebeveiliging in projectbeheer

  • 6.2 Mobiele apparatuur en telewerken

    • 6.2.1 Beleid voor mobiele apparatuur

    • 6.2.2 Telewerken

• 7 Veilig personeel

  • 7.1 Voorafgaand aan het dienstverband

    • 7.1.1 Screening

    • 7.1.2 Arbeidsvoorwaarden

  • 7.2 Tijdens het dienstverband

    • 7.2.1 Directieverantwoordelijkheden

    • 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

    • 7.2.3 Disciplinaire procedure

  • 7.3 Beëindiging en wijziging van dienstverband

    • 7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

• 8 Beheer van bedrijfsmiddelen

  • 8.1 Verantwoordelijkheid voor bedrijfsmiddelen

    • 8.1.1 Inventariseren van bedrijfsmiddelen

    • 8.1.2 Eigendom van bedrijfsmiddelen

    • 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen

    • 8.1.4 Teruggeven van bedrijfsmiddelen

  • 8.2 Informatieclassificatie

    • 8.2.1 Classificatie van informatie

    • 8.2.2 Informatie labelen

    • 8.2.3 Behandelen van bedrijfsmiddelen

  • 8.3 Behandelen van media

    • 8.3.1 Beheer van verwijderbare media

    • 8.3.2 Verwijderen van media

    • 8.3.3 Media fysiek overdragen

• 9 Toegangsbeveiliging

  • 9.1 Bedrijfseisen voor toegangsbeveiliging

    • 9.1.1 Beleid voor toegangsbeveiliging

    • 9.1.2 Toegang tot netwerken en netwerkdiensten

  • 9.2 Beheer van toegangsrechten van gebruikers

    • 9.2.1 Registratie en afmelden van gebruikers

    • 9.2.2 Gebruikers toegang verlenen

    • 9.2.3 Beheren van speciale toegangsrechten

    • 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers

    • 9.2.5 Beoordeling van toegangsrechten van gebruikers

    • 9.2.6 Toegangsrechten intrekken of aanpassen

  • 9.3 Verantwoordelijkheden van gebruikers

    • 9.3.1 Geheime authenticatie-informatie gebruiken

  • 9.4 Toegangsbeveiliging van systeem en toepassing

    • 9.4.1 Beperking toegang tot informatie

    • 9.4.2 Beveiligde inlogprocedures

    • 9.4.3 Systeem voor wachtwoordbeheer

    • 9.4.4 Speciale systeemhulpmiddelen gebruiken

    • 9.4.5 Toegangsbeveiliging op programmabroncode

• 10 Cryptografie

  • 10.1 Cryptografische beheersmaatregelen

    • 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

    • 10.1.2 Sleutelbeheer

• 11 Fysieke beveiliging en beveiliging van de omgeving

  • 11.1 Beveiligde gebieden

    • 11.1.1 Fysieke beveiligingszone

    • 11.1.2 Fysieke toegangsbeveiliging

    • 11.1.3 Kantoren, ruimten en faciliteiten beveiligen

    • 11.1.4 Beschermen tegen bedreigingen van buitenaf

    • 11.1.5 Werken in beveiligde gebieden

    • 11.1.6 Laad- en loslocatie

  • 11.2 Apparatuur

    • 11.2.1 Plaatsing en bescherming van apparatuur

    • 11.2.2 Nutsvoorzieningen

    • 11.2.3 Beveiliging van bekabeling

    • 11.2.4 Onderhoud van apparatuur

    • 11.2.5 Verwijdering van bedrijfsmiddelen

    • 11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

    • 11.2.7 Veilig verwijderen of hergebruiken van apparatuur

    • 11.2.8 Onbeheerde gebruikersapparatuur

    • 11.2.9 ‘Clear desk’- en ‘clear screen’-beleid

• 12 Beveiliging bedrijfsvoering

  • 12.1 Bedieningsprocedures en verantwoordelijkheden

    • 12.1.1 Gedocumenteerde bedieningsprocedures

    • 12.1.2 Wijzigingsbeheer

    • 12.1.3 Capaciteitsbeheer

    • 12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen

  • 12.2 Bescherming tegen malware

    • 12.2.1 Beheersmaatregelen tegen malware

  • 12.3 Back-up

    • 12.3.1 Back-up van informatie

  • 12.4 Verslaglegging en monitoren

    • 12.4.1 Gebeurtenissen registreren

    • 12.4.2 Beschermen van informatie in logbestanden

    • 12.4.3 Logbestanden van beheerders en operators

    • 12.4.4 Kloksynchronisatie

  • 12.5 Beheersing van operationele software

    • 12.5.1 Software installeren op operationele systemen

  • 12.6 Beheer van technische kwetsbaarheden

    • 12.6.1 Beheer van technische kwetsbaarheden

    • 12.6.2 Beperkingen voor het installeren van software

  • 12.7 Overwegingen betreffende audits van informatiesystemen

    • 12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen

• 13 Communicatiebeveiliging

  • 13.1 Beheer van netwerkbeveiliging

    • 13.1.1 Beheersmaatregelen voor netwerken

    • 13.1.2 Beveiliging van netwerkdiensten

    • 13.1.3 Scheiding in netwerken

  • 13.2 Informatietransport

    • 13.2.1 Beleid en procedures voor informatietransport

    • 13.2.2 Overeenkomsten over informatietransport

    • 13.2.3 Elektronische berichten

    • 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

• 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen

  • 14.1 Beveiligingseisen voor informatiesystemen

    • 14.1.1 Analyse en specificatie van informatiebeveiligingseisen

      • 14.1.1.1 Zorgontvangers op unieke wijze identificeren

      • 14.1.1.2 Validatie van outputgegevens

    • 14.1.2 Toepassingen op openbare netwerken beveiligen

    • 14.1.3 Transacties van toepassingen beschermen

      • 14.1.3.1 Openbaar beschikbare gezondheidsinformatie

  • 14.2 Beveiliging in ontwikkelings- en ondersteunende processen

    • 14.2.1 Beleid voor beveiligd ontwikkelen

    • 14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen

    • 14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform

    • 14.2.4 Beperkingen op wijzigingen aan softwarepakketten

    • 14.2.5 Principes voor engineering van beveiligde systemen

    • 14.2.6 Beveiligde ontwikkelomgeving

    • 14.2.7 Uitbestede softwareontwikkeling

    • 14.2.8 Testen van systeembeveiliging

    • 14.2.9 Systeemacceptatietests

  • 14.3 Testgegevens

    • 14.3.1 Bescherming van testgegevens

• 15 Leveranciersrelaties

  • 15.1 Informatiebeveiliging in leveranciersrelaties

    • 15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

    • 15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

    • 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie

  • 15.2 Beheer van dienstverlening van leveranciers

    • 15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers

    • 15.2.2 Beheer van veranderingen in dienstverlening van leveranciers

• 16 Beheer van informatiebeveiligingsincidenten

  • 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen

    • 16.1.1 Verantwoordelijkheden en procedures

    • 16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen

    • 16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging

    • 16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

    • 16.1.5 Respons op informatiebeveiligingsincidenten

    • 16.1.6 Lering uit informatiebeveiligingsincidenten

    • 16.1.7 Verzamelen van bewijsmateriaal

• 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

  • 17.1 Informatiebeveiligingscontinuïteit

    • 17.1.1 Informatiebeveiligingscontinuïteit plannen

    • 17.1.2 Informatiebeveiligingscontinuïteit implementeren

    • 17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

  • 17.2 Redundante componenten

    • 17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten

• 18 Naleving

  • 18.1 Naleving van wettelijke en contractuele eisen

    • 18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen

    • 18.1.2 Intellectuele-eigendomsrechten

    • 18.1.3 Beschermen van registraties

    • 18.1.4 Privacy en bescherming van persoonsgegevens

    • 18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

  • 18.2 Informatiebeveiligingsbeoordelingen

    • 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging

    • 18.2.2 Naleving van beveiligingsbeleid en -normen

    • 18.2.3 Beoordeling van technische naleving

• Bijlage A (informatief) Bedreigingen voor de beveiliging van gezondheidsinformatie

• Bijlage B (informatief) Praktisch plan van aanpak voor het implementeren van ISO/IEC 27002 in de zorg

  • B.1 Taxonomie van de internationale normen ISO/IEC 27001 en ISO/IEC 27002

  • B.2 Verbintenis van het management tot het implementeren van ISO/IEC 27002

  • B.3 Het ISMS inrichten, uitvoeren, onderhouden en verbeteren

  • B.4 Planning: het ISMS inrichten

    • B.4.1 Een toepassingsgebied in verband met naleving selecteren en definiëren

      • B.4.1.1 Algemeen

      • B.4.1.2 Criteria voor het definiëren van het toepassingsgebied in verband met naleving

      • B.4.1.3 Een mogelijke summiere gap-analyse tijdens het definiëren van het toepassingsgebied met betrekking tot naleving

      • B.4.1.4 Gecontroleerde betrokkenheid/inclusie van derden

      • B.4.1.5 Dienstverleningsovereenkomsten (SLA's) en contracten helpen bij het vaststellen van het toepassingsgebied

      • B.4.1.6 De uiteenzetting van het toepassingsgebied opstellen en verspreiden

    • B.4.2 Gap-analyse

    • B.4.3 Een forum voor de beveiliging van gezondheidsinformatie instellen

    • B.4.4 Risico's voor gezondheidsinformatie beoordelen

    • B.4.5 Risicomanagement ²⁾

    • B.4.6 Beveiligingsverbeterplan

    • B.4.7 Verklaring van toepasselijkheid

    • B.4.8 ISMS-documenten

    • B.4.9 Mogelijkheid van facilitering door het gebruik van instrumenten

    • B.4.10 Samenvatting

  • B.5 Do: het ISMS implementeren en uitvoeren

  • B.6 Check: het monitoren en beoordelen van het ISMS

    • B.6.1 Noodzaak van voortdurende zekerheid

    • B.6.2 Beoordeling van naleving

      • B.6.2.1 Zelfbeoordeling

      • B.6.2.2 Collegiale beoordeling

      • B.6.2.3 Onafhankelijke audit

      • B.6.2.4 Certificatieaudit op basis van ISO/IEC 27001

    • B.6.3 Samenvatting

  • B.7 Act: het handhaven en verbeteren van het ISMS

• Bijlage C (informatief) Checklist voor naleving van zorgspecifieke beheersmaatregelen

• Bibliografie