3   Risicomanagement en opbouw van deze norm

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

3.1   Risicomanagement

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

3.1.1   Overzicht risicomanagement

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Voor beveiliging vormt het beheersen van risico’s het voornaamste principe. In de aanpak van informatiebeveiliging in deze norm komen elementen van risicomanagement dan ook op verscheidene plaatsen aan de orde. Op deze plaats wordt een kort overzicht gegeven.
Om te bepalen aan welke risico’s een organisatie bloot staat, is het nodig de bedreigingen, bedrijfsmiddelen en kwetsbaarheden te benoemen. Dan is het van belang de gevolgen van een incident voor de organisatie te bepalen. Uit een schatting van de waarschijnlijkheid dat een bedreiging tot een incident leidt, wordt daarmee het risico bepaald. Of dit risico aanvaardbaar is, wordt bepaald aan de hand van criteria die de organisatie eerder heeft vastgesteld (zie verder 3.1.2).
Om de geïdentificeerde risico’s te reduceren tot onder het aanvaardbare niveau zal de organisatie daarvoor geschikte beheersmaatregelen inzetten en de effectiviteit ervan voortdurend beoordelen (zie verder 3.1.3). In deze norm is het risicomanagement ingebed in de PDCA-cyclus (PLAN, DO, CHECK, ACT) van het ISMS.
Figuur 1 geeft een schematisch overzicht van de elementen van risicobeoordeling.
Figuur 1Schema risicobeoordeling
fig_1
ISO/IEC 27005 (Guidelines for the Management of IT Security – Techniques for the Management of IT Security) [6] geeft voorbeelden van methoden voor risicomanagement.

3.1.2   Risicobeoordeling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De risicobeoordeling bestaat uit de systematische aanpak van het schatten van de omvang van de risico’s (risicoanalyse) en het vergelijkingsproces van de ingeschatte risico’s met risicocriteria om zo het belang van de risico’s te bepalen (risico-evaluatie).
Risicobeoordelingen worden periodiek uitgevoerd om in te spelen op wijzigingen in de beveiligingseisen en de risicosituatie, bijvoorbeeld in de bedrijfsmiddelen, bedreigingen, kwetsbaarheden of veranderde omstandigheden.
De risicobeoordeling heeft, om effectief te zijn, een goed beschreven toepassingsgebied en legt relaties met risicobeoordelingen op andere gebieden. De toenemende onderlinge verbondenheid van informatiesystemen in de zorg verdient specifiek aandacht.
Risicobeoordeling in de zorg roept vaak vragen op rond het belang van tijdigheid en beschikbaarheid van informatie ten opzichte van andere factoren voor het patiëntrisico. Vervolgens ontstaan er vragen rond wie hiervoor verantwoordelijk is en hoe dat zich verhoudt tot verantwoordelijkheid voor privacy.
In de uitvoering van gezondheidszorg komen verantwoordelijkheden en verplichtingen van verschillende disciplines en organisaties bijeen. Het is nodig de risicobeoordelingen vanuit de verschillende invalshoeken samen te brengen om een afgewogen besturing van de informatievoorziening te bewerkstelligen.
Adequate risicobeoordelingen identificeren en kwantificeren risico’s en kennen prioriteit toe aan de hand van de criteria voor risicoaanvaarding en doelstellingen die relevant zijn voor de organisatie. Hierbij kunnen normen voor de organisatie en de zorgsector een rol spelen, evenals reacties van de buitenwereld en klinische en andere prioriteiten.
De resultaten geven richting bij het bepalen van passende managementactie en prioriteiten voor het beheersen van informatiebeveiligingsrisico’s en voor het implementeren van beheersmaatregelen om tegen deze risico’s te beveiligen.

3.1.3   Risicobehandeling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De aanduiding 'risicobehandeling' benadrukt de activiteit van het reduceren van risico's tot aanvaardbaar geachte niveaus, waarbij wordt erkend dat er nooit afdoende middelen beschikbaar zullen zijn om volledige risicovermijding te betrachten. Het gaat om de balans tussen (ingeschatte) bedreigingen en risico’s enerzijds en anderzijds de risicobeperkende maatregelen, kosten en werkbaarheid. Waar maatregelen op het gebied van informatiebeveiliging conflicteren met patiëntveiligheid, zal patiëntveiligheid meestal prevaleren.
De vaststelling van wat wordt aanvaard, is de verantwoordelijkheid van de organisatie. Dit vormt een weerslag van de afgesproken manier waarop de organisatie met risico's omgaat en rechtvaardigt de kosten voor de verbetering van de informatiebeveiliging als een aantoonbaar goede besteding van schaarse financiële middelen.
Een organisatie kan besluiten bepaalde risico’s bewust te aanvaarden, mits wordt voldaan aan het beleid en de criteria voor risicoaanvaarding van de organisatie. In andere gevallen is de organisatie aangewezen op geschikte beheersmaatregelen om de risico’s te verminderen. Hierbij wordt opgemerkt dat voor het verminderen van een bepaald risico vaak een combinatie van beheersmaatregelen nodig is, terwijl een beheersmaatregel aan de andere kant ook voor het verminderen van verschillende risico’s van belang kan zijn.

3.2   Opbouw van deze norm

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Een organisatie heeft vele activiteiten te identificeren en te beheren om doeltreffend te kunnen functioneren. Een activiteit waarbij gebruik wordt gemaakt van middelen, en die wordt beheerd om input om te kunnen zetten in output, kan als een proces worden beschouwd. Vaak vormt de output van het ene proces rechtstreeks de input voor het volgende proces.
In elke organisatie is de bedrijfsvoering georganiseerd rond primaire, ondersteunende en besturende processen. In de meeste processen wordt informatie verwerkt, opgeslagen en uitgewisseld. In deze context is het beveiligen van informatie een besturend proces.
Hoofdstuk 4 geeft aanwijzingen voor de aanpak van het proces van informatiebeveiliging in een organisatie volgens een PDCA-beheerscyclus (PLAN, DO, CHECK, ACT). Een overzicht van de stappen in deze cyclus en daarbij behorende documenten is opgenomen in Bijlage A.
Dit beschrijft het proces voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het ISMS van een organisatie. Deze werkwijze is gelijk aan die bij andere management­systemen, zoals voor kwaliteit en veiligheid. In een organisatie die deze ook toepast is onderlinge afstemming nodig (zie ook bijlage B in NPR 2083 [40]).
Het ISMS in hoofdstuk 4 vormt aldus het raamwerk voor het organiseren van de informatiebeveiliging. In navolging van NEN-ISO/IEC 27001 wordt in dit hoofdstuk systematisch ‘moeten’ gebruikt voor verplichte acties. Voor de invulling van de acties worden mogelijkheden gegeven. De organisatie kan deze volgen, hieruit een geschikte keuze maken of aan de actie een eigen invulling geven.
Het algemene begrip ‘organisatie’ wordt in deze norm op diverse plaatsen verbijzonderd tot ‘organisatie die patiëntgegevens verwerkt’. Dat is het geval waar juist het verwerken van patiëntgegevens extra risico’s met zich meebrengt. Een organisatie die patiëntgegevens verwerkt behoeft zelf geen zorgdiensten te verlenen en dus geen zorginstelling te zijn. Het begrip 'zorginstelling' wordt gehanteerd voor organisaties wanneer het om de patiëntenlogistiek gaat en niet zozeer om de informatie.
Op basis van de uitgevoerde risicobeoordeling stelt de organisatie passende beheersmaatregelen vast en zorgt ervoor dat deze in praktijk worden gebracht. De effectiviteit van de getroffen maatregelen behoort systematisch te worden beoordeeld. De PDCA-cyclus behoort periodiek te worden doorlopen.
Aansluitend op hoofdstuk 4 volgen 11 hoofdstukken met beveiligingsbeheersmaatregelen, verdeeld in 39 hoofdcategorieën.
De hoofdstukken (met het aantal hoofdcategorieën dat in elk hoofdstuk wordt behandeld) zijn:
  • 5. beveiligingsbeleid (1);
  • 6. organisatie van de informatiebeveiliging (2);
  • 7. beheer van bedrijfsmiddelen (2);
  • 8. personeel (3);
  • 9. fysieke beveiliging en beveiliging van de omgeving (2);
  • 10. beheer van communicatie- en bedieningsprocessen (10);
  • 11. toegangsbeveiliging (7);
  • 12. verwerving, ontwikkeling en onderhoud van informatiesystemen (6);
  • 13. beheer van informatiebeveiligingsincidenten (2);
  • 14. bedrijfscontinuïteitsbeheer (1);
  • 15. naleving (3).

OPMERKING De volgorde van de hoofdstukken in deze norm is geen maat van hun belangrijkheid. Iedere organisatie die deze norm toepast, behoort de van toepassing zijnde hoofdstukken te identificeren, en voor de eigen omstandigheden vast te stellen hoe belangrijk zij zijn en hoe ze van toepassing zijn voor de afzonderlijke bedrijfsprocessen. Eveneens geven opsommingen en lijsten in deze norm geen volgorde van belangrijkheid aan, tenzij dit wordt vermeld.

Elke hoofdbeveiligingscategorie bevat:
  • een beheersdoelstelling die vermeldt wat er moet worden bereikt en
  • een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren.
De beschrijving van beheersmaatregelen is als volgt gestructureerd.
Beheersmaatregel
Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen.
De beheersmaatregelen volgen zoveel mogelijk de tekst van NEN-ISO/IEC 27002. Aanpassingen daarop voor de gezondheidszorg zijn in deze norm vet weergegeven.
De meeste van deze aanpassingen vinden hun oorsprong in NEN-EN-ISO 27799. In die internationale norm zijn zorgspecifieke aanscherpingen van het dwingende ‘moeten’ (‘shall’) voorzien op basis van een universele risicobeoordeling voor de zorg. Aangezien in de systematiek van deze NEN 7510 een verklaring van toepasselijkheid (zie 4.3 j) de selectie van beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. De vetgedrukte tekst benadrukt wel het belang van de desbetreffende beheersmaatregelen in de zorg.
Algemene overwegingen hierbij zijn dat bij het verwerken van patiëntgegevens:
  • de patiëntveiligheid in gevaar kan komen als de gegevens niet beschikbaar zijn;
  • de patiëntveiligheid in gevaar kan komen als de integriteit van de gegevens niet is gewaarborgd;
  • de privacy van de patiënt kan worden geschaad wanneer de vertrouwelijkheid niet is gewaarborgd.
Voor patiëntveiligheid geeft de Kwaliteitswet Zorginstellingen de wettelijke grondslag, voor de privacy zijn dit de WBP en WGBO.
Aandachtspunten en aanbevelingen voor implementatie
Geven nadere informatie om de implementatie van de beheersmaatregel te ondersteunen om de beheersdoelstelling te realiseren. Hiermee worden de abstract geformuleerde beheersmaatregelen toegelicht. De aanbevelingen zullen niet overal toepasbaar zijn en andere manieren om de beheersmaatregel te implementeren kunnen de voorkeur verdienen. De aandachtspunten en aanbevelingen zijn informatief en vooral bedoeld om de organisatie te helpen een afgewogen implementatie van de beheersmaatregel te kiezen. Met het gebruik van de gebiedende wijs is beoogd de aanbevelingen beter hanteerbaar te maken en niet om deze verplicht te stellen.
Overige informatie
Verstrekt nadere informatie waarmee rekening moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen.
In Bijlage B is weergegeven waar de beheersmaatregelen uit NEN 7510:2004 in deze norm zijn te vinden.