4   Aanpak van de informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

4.1   Managementsysteem voor informatiebeveiliging: ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet een ISMS inrichten.
Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. ISO/IEC 27001 is daarvoor de norm. Dat document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten.
De procesbenadering in deze norm beoogt voor gebruikers het belang te onderstrepen van:
  • a) inzicht in de eisen van de organisatie ten aanzien van informatiebeveiliging en de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging;
  • b) implementeren en uitvoeren van beheersmaatregelen om de risico's voor informatiebeveiliging voor de organisatie te beheren ten opzichte van de algemene bedrijfsrisico's van de organisatie;
  • c) controleren en beoordelen van de prestaties en de doeltreffendheid van het ISMS en
  • d) continue verbetering, gebaseerd op objectieve meting.
Volledige naleving van deze norm houdt in dat een organisatie kan aantonen dat zij een operationeel ISMS hanteert met geschikte auditprocessen om naleving te controleren. Zie ook hoofdstuk 15.
Waar mogelijk integreren organisaties hun ISMS met de processen voor borging van kwaliteit en patiëntveiligheid en houden zij rekening met de richtlijnen genoemd in 4.3 t.m. 4.6.
Deze norm is door aansluiting bij ISO/IEC 27001 afgestemd op ISO 9001, en loopt daarmee ook in de pas met NPR-CEN/TS 15224 en NTA 8009 (VMS), om een consistente en geïntegreerde imple­men­tatie en uitvoering te ondersteunen. Zo kan één goed opgezet managementsysteem voldoen aan de eisen van al deze normen, ofwel kan een organisatie haar ISMS afstemmen op of integreren met gerelateerde eisen van andere managementsystemen.
Informatiebeveiliging wordt, in navolging van andere sectoren, ook in de zorgsector steeds meer verlegd van een technisch 'back office'-proces naar een prominent proces voor de organisatie als geheel. In deze norm wordt het ISMS beschouwd als overkoepelend besturingsproces voor beleid en uitvoering van de informatiebeveiliging.
Figuur 2 illustreert hoe het ISMS de eisen voor informatie­beveiliging en de verwachtingen van de belanghebbende partijen als input gebruikt, en door middel van de nodige maatregelen en processen, beveiliging van informatie biedt die aan die eisen en verwachtingen voldoet.
Figuur 2 toont ook de onderlinge samen­hang van de processen zoals beschreven in 4.3 t.m. 4.6.

OPMERKING 1 Organisaties die de normen voor informatiebeveiliging in een zorgomgeving invoeren zullen merken dat de meeste beheersdoelstellingen in vrijwel elke situatie van toepassing zijn.

OPMERKING 2 Organisaties die de normen in de gezondheidszorg toepassen worden geacht situaties te herkennen die mogelijk aanvullende beheersdoel­stellingen vereisen.

Figuur 2PDCA-model toegepast op ISMS-processen
fig_2
Plan (het ISMS vaststellen) Het vaststellen van het ISMS en de doelstellingen, processen en procedures die relevant zijn voor het risicomanagement en verbetering van de informatiebeveiliging, teneinde resultaten te leveren die in overeenstemming zijn met algemene beleidslijnen en doelstellingen van de organisatie.
Do (het ISMS implementeren en uitvoeren) Het implementeren en uitvoeren van het ISMS, beheersmaatregelen, processen en procedures.
Check (het ISMS controleren en beoordelen) Beoordelen en, voorzover van toepassing, meten van procesprestaties ten opzichte van het ISMS en de doelstellingen en ervaring uit de praktijk, en rapportage van de resultaten aan de directie ter beoordeling.
Act (het ISMS bijhouden en verbeteren) Corrigerende en preventieve maatregelen nemen, op basis van de resultaten van de interne ISMS-audit en de directiebeoordeling of andere relevante informatie, om continue verbetering van het ISMS te bewerkstelligen.
Bijlage A bevat informatieve voorbeelden van de stappen die doorgaans deel uitmaken van elke fase in de cyclus, tezamen met voorbeelden van de typen documenten die daarbij worden gehanteerd.

4.2   Directieverantwoordelijkheid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

4.2.1   Toewijzen verantwoordelijkheden

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet verantwoordelijkheden ten aanzien van het ISMS toewijzen.
Vervolgens geldt dit ten aanzien van de verantwoordelijkheden voor de beveiliging van individuele bedrijfsprocessen, bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen.
Hierbij zijn verschillende verantwoordelijkheden te benoemen. Internationaal wordt vaak gebruik gemaakt van het zogenaamde RACI-model. Dit model maakt onderscheid naar de volgende verantwoordelijkheden:
  • R: Responsible, verantwoordelijk, degene die de taak uitvoert en verantwoording aflegt aan degene die accountable is;
  • A: Accountable, eindverantwoordelijk, degene die eindverantwoordelijk en beslissingsbevoegd is;
  • C: Consulted, raadplegen, degene die vooraf wordt geraadpleegd en advies geeft over de te nemen beslissing;
  • I: Informed, informeren, degene die achteraf over de genomen beslissing wordt geïnformeerd.
Zie verder ook 6.1.3.

4.2.2   Actieve betrokkenheid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet bewijs kunnen leveren van haar betrokkenheid met betrekking tot het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het ISMS.
Dit kan worden bereikt door:
  • a) strategie en invoering van het ISMS te bepalen en het ISMS vast te stellen;
  • b) te bewerkstelligen dat beleid en plannen voor informatiebeveiliging worden vastgesteld;
  • c) rollen en verantwoordelijkheden vast te stellen ten aanzien van ontwikkeling en onderhoud van het ISMS;
  • d) in de organisatie het belang kenbaar te maken van het voldoen aan doelstel­lin­gen voor informatiebeveiliging en het naleven van het informatie­beveiligings­beleid, de wettelijke verantwoordelijk­heden en de noodzaak van continue verbetering;
  • e) afdoende middelen beschikbaar te stellen om het ISMS te ontwikkelen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren (zie 4.4.2);
  • f) de criteria vast te stellen voor de aanvaarding van risico's en aanvaardbare risiconiveaus;
  • g) te bewerkstelligen dat interne ISMS-audits worden uitgevoerd (zie 4.5.2);
  • h) directiebeoordelingen van het ISMS uit te voeren (zie 4.5.3).

4.2.3   Stuurgroep

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie kan worden ondersteund door een stuurgroep.
Het instellen van een stuurgroep voor informatiebeveiliging (of Information Security Management Forum, ISMF) verdient aanbeveling om toezicht te houden op informatiebeveiliging en om daar richting aan te geven (zie ook 6.1.2). Mogelijk kan de taakstelling van een bestaande commissie daartoe worden uitgebreid, bijvoorbeeld een commissie voor risicomanagement of aansturing van de informatievoorziening.
In een dergelijke stuurgroep valt te overwegen vertegenwoordiging te zoeken van een breed scala aan functies op het gebied van informatieborging en aansturing, evenals functies uit verschillende gebruikersgroepen en belangrijke ondersteuningsfuncties. Doorgaans zijn ook functies op het gebied van interne auditing en human resources vertegenwoordigd.

4.3   PLAN: het ISMS vaststellen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
PLAN: Het vaststellen van het ISMS en de doelstellingen, processen en procedures die relevant zijn voor het risicomanagement en verbetering van de informatiebeveiliging, teneinde resultaten te leveren die in overeenstemming zijn met algemene beleidslijnen en doelstellingen van de organisatie.
De directie moet het ISMS vaststellen (zie Bijlage A).
Dit kan worden bereikt door:
  • a) toepassingsgebied en grenzen van het ISMS vast te stellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied;
  • b) beleid voor het ISMS vast te stellen met betrekking tot kenmerken van bedrijfs­voering, organisatie, locatie, bedrijfs­middelen en technologie dat:
    • een raamwerk omvat voor het vast­stellen van doelstellingen en dat in het algemeen richting geeft aan en begin­selen voor maatregelen aanduidt ten behoeve van informatiebeveiliging;
    • rekening houdt met eisen voor de bedrijfsvoering evenals eisen uit wet- of regelgeving en contractuele verplichtingen voor beveiliging;
    • is afgestemd op het strategische kader van de organisatie voor het risicomanagement waarin het ISMS wordt vastgesteld en bijgehouden;
    • criteria vaststelt aan de hand waarvan het risico wordt beoordeeld;
    • door de directie is goedgekeurd.

    OPMERKING Met betrekking tot deze norm wordt in navolging van de 27001 het ISMS-beleid beschouwd als overkoepelend voor het beleid voor informatiebeveiliging. Deze beleidslijnen kunnen in één document worden beschreven.

  • c) vast te stellen welke benadering voor risicobeoordeling wordt gekozen in de organisatie met aandacht voor:
    • een methode voor risico­beoor­deling die is afgestemd op het ISMS, maar ook op de geïdenti­ficeerde eisen voor beveili­ging van bedrijfs­informatie en eisen uit wet- en regelgeving;
    • criteria voor de aanvaarding van risico's en de risiconiveaus die aanvaardbaar zijn;
    • vergelijkbare en herhaalbare resultaten;
  • d) risico’s te identificeren:
    • de bedrijfsmiddelen identificeren binnen de reikwijdte van het ISMS en de verantwoordelijke eigenaren van deze bedrijfsmiddelen (noot: de term 'eigenaar' ver­wijst naar een persoon of entiteit met goedgekeurde management­verant­woordelijkheid voor het beheer­sen van productie, ontwikkeling, onder­houd, gebruik en beveiliging van de bedrijfsmiddelen. De term 'eigenaar' houdt niet in dat deze persoon daadwerkelijk eigendomsrechten op de bedrijfsmiddelen kan doen gelden);
    • de bedreigingen voor deze bedrijfsmiddelen identificeren;
    • de zwakke plekken identificeren die vatbaar kunnen zijn voor de bedreigingen;
    • de mogelijke gevolgen identificeren die verlies van vertrouwelijkheid, integriteit en beschikbaarheid kunnen hebben voor de bedrijfsmiddelen;
  • e) de risico’s te analyseren en beoordelen:
    • beoordelen welke schade de organisa­tie waarschijnlijk zal ondervinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfs­middelen worden geschonden;
    • beoordeling van de waarschijnlijk­heid dat een beveiligingsstoring optreedt in het licht van de aanwezige bedreigingen en kwetsbaarheden, en gevolgen voor deze bedrijfsmiddelen, en de huidige getroffen beheersmaatregelen;
    • een inschatting maken van de risiconiveaus;
    • vaststellen of de risico's aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding die in c) zijn vastgesteld;
  • f) opties voor de behandeling van de risico’s te identificeren en beoordelen;
    dit omvat maatregelen als het toepassen van geschikte beheersmaatregelen, bewust en objectief risico's aanvaarden, mits deze duidelijk voldoen aan het beleid van de organisatie en de criteria voor de aanvaarding van risico's (evenals eisen uit wet- en regelgeving en contractuele verplichtingen), risico's vermijden en de desbetreffende bedrijfsrisico's overdragen aan anderen, bijv. verzekeringsmaatschappijen, leveranciers;
  • g) beheersdoelstellingen en maatregelen voor de behandeling van de risico’s te kiezen;
    beheersdoelstellingen en beheersmaat­regelen kiezen en implementeren om te voldoen aan de eisen die zijn vastgesteld in de processen voor risicobeoordeling en risicobehandeling. Bij deze keuze rekening houden met de criteria voor het aanvaarden van risico's. Als onderdeel van dit proces worden beheersdoelstellingen en beheersmaatregelen uit hoofdstuk 5 t.m. 15 gekozen, voor zover geschikt om aan de vastgestelde eisen te voldoen. Het overzicht van beheersdoelstellingen en beheersmaatregelen in deze norm is niet uitputtend; eventueel kunnen aanvullende beheersdoelstellingen en beheersmaatregelen worden gekozen;
  • h) goedkeuring van de directie te verkrijgen voor de voorgestelde restrisico's.
    Als aanvulling op c) tot en met h) geldt dat in de zorgsector een aantal aspecten meespeelt die extra aandacht verdienen. Er is een relatief groot risico van ernstige gezondheidsschade of dood. Ook kenmerkt de zorg zich door vergaande integratie van patiëntroutes en informatievoorzieningen. Bij dit alles is het belangrijk om de hoge eis aan beschikbaarheid van gegevens af te wegen tegen eisen van vertrouwelijkheid.
    Doeltreffende risicobeoordeling voor informatiebeveiliging in de gezondheidszorg vereist de beschikbaarheid van de volgende vaardigheden en kennis:
    • kennis van klinische en verpleegkundige processen, met inbegrip van zorgprotocollen en overdrachtswegen;
    • kennis van de formaten van klinische gegevens en de mogelijkheid dat deze gegevens worden misbruikt;
    • kennis van de externe omgevingsfactoren die een of meer van de niveaus van de eerder beschreven risicocomponenten kunnen verhogen of verlagen;
    • informatie over kenmerken van informatiesystemen en medische appara­tuur en prestatie/storingskenmerken;
    • kennis van incidenten uit het verleden en gevolgscenario's voor actuele dossiers;
    • gedetailleerde kennis van systeem­architectuur;
    • bekendheid met programma's voor wijzigingsbeheer die een of meer van de niveaus van risicocom­ponenten kunnen veranderen.
  • i) goedkeuring van de directie te verkrijgen om het ISMS te implementeren en uit te voeren;
  • j) een verklaring van toepasselijkheid op te stellen. Deze omvat:
    • de beheersdoelstellingen en beheersmaatregelen die in g) werden gekozen en de redenen voor hun keuze;
    • de beheersdoelstellingen en beheersmaatregelen die op dit moment zijn geïmplementeerd (zie e));
    • de uitsluiting van eventuele beheersdoelstellingen en beheersmaatregelen uit hoofdstuk 5 t.m. 15 en de rechtvaardiging voor deze uitsluiting.
De verklaring van toepasselijkheid biedt een overzicht van besluiten met betrekking tot risicobehandeling. Rechtvaardiging van uitsluitingen biedt een extra controle dat er geen beheersmaat­regelen ten onrechte zijn weggelaten.

OPMERKING Deze processen voltrekken zich in fasen, worden samengevoegd, uitgebreid en herhaald, hetgeen betekent dat de informatie herhaaldelijk wordt bewerkt en hergebruikt in meer processen, waarbij de resultaten van latere processen vaak leiden tot wijzigingen in eerdere processen. Ten slotte worden beslissingen doorgaans genomen onder invloed van een reeks factoren die een grote mate van onderlinge terugkoppeling vereisen. Er wordt aanbevolen ondersteunende hulpmiddelen in te zetten die het proces van naleving van deze norm kunnen ondersteunen.

4.4   DO: het ISMS implementeren en uitvoeren

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
DO: Het implementeren en uitvoeren van het ISMS, beheersmaatregelen, processen en procedures.

4.4.1   Implementeren en uitvoeren ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet het ISMS implementeren en uitvoeren.
Dit kan worden bereikt door:
  • a) een plan te formuleren voor de risico­behandeling waarin de geschikte maatregelen, middelen, verantwoordelijkheden en prioriteiten worden vastge­legd voor het beheer van risico’s voor informatiebeveiliging (zie 4.2);
  • b) het plan voor risicobehandeling te implementeren om de geïdentificeerde beheersdoelstellingen te halen, hetgeen financiering omvat evenals toewijzing van rollen en verantwoordelijkheden;
  • c) de in 4.3g) gekozen beheersmaatregelen te implementeren om aan de beheersdoelstellingen te voldoen;
  • d) vast te stellen hoe de doeltreffendheid van de gekozen beheersmaatregelen of groepen beheersmaatregelen moet worden gemeten en specificeren hoe deze metingen moeten worden gebruikt om de doeltreffendheid van de beheersmaat­regelen te beoordelen, om vergelijkbare en herhaalbare resultaten te bereiken (zie 4.3c));
  • e) programma's voor training en bewustzijn te implementeren (zie 4.4.3);
  • f) de uitvoering van het ISMS te beheren;
  • g) de middelen voor het ISMS te beheren (zie 4.4.2);
  • h) procedures en andere beheersmaatregelen te implementeren voor snelle detectie van beveiligings­gebeurtenissen en reactie op beveiligingsincidenten (zie 4.5.1a)).

4.4.2   Beschikbaar stellen van middelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet vaststellen welke middelen nodig zijn en deze benodigde middelen beschikbaar stellen om:
  • a) een ISMS vast te stellen, te implementeren, uit te voeren, te controleren, te beoordelen, bij te houden en te verbeteren;
  • b) te bewerkstelligen dat procedures voor informatiebeveiliging de eisen van de bedrijfsvoering ondersteunen;
  • c) eisen uit wet- en regelgeving en contractuele verplichtingen voor beveiliging te identificeren en na te leven;
  • d) een geschikt niveau van beveiliging te handhaven door correcte toepassing van alle geïmplementeerde beheersmaatregelen;
  • e) wanneer dat nodig is beoordelingen uit te voeren en op geschikte wijze te handelen naar de resultaten van deze beoordelingen; en
  • f) waar nodig de doeltreffendheid van het ISMS te verbeteren.

4.4.3   Training, bewustzijn en bekwaamheid voor het ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet bewerkstelligen dat alle werknemers aan wie verantwoordelijkheden zijn toegewezen die in het ISMS zijn gedefinieerd, afdoende bekwaam zijn om de vereiste taken uit te voeren
Dit kan worden bereikt door:
  • a) vast te stellen over welke bekwaamheden personeel moet beschikken dat werkzaamheden uitvoert die het ISMS beïnvloeden;
  • b) training te bieden of andere maatregelen te nemen (bijv. het aantrekken van bekwaam personeel) om aan deze behoeften te voldoen;
  • c) de doeltreffendheid van de ondernomen acties te beoordelen; en
  • d) registraties bij te houden van opleiding, training, vaardigheden, ervaring en kwalificaties (zie 4.7.2).

4.5   CHECK: het ISMS monitoren en beoordelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
CHECK: Beoordelen en, voorzover van toepassing, meten van procesprestaties ten opzichte van het ISMS en de doelstellingen en ervaring uit de praktijk, en rapportage van de resultaten aan de directie ter beoordeling.

4.5.1   Het ISMS monitoren en beoordelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet het ISMS monitoren en beoordelen.
Bij het monitoren en beoordelen van het ISMS beoogt men de blijvende optimale werking van de PDCA-cyclus te waarborgen. De procedures ter ondersteuning van het informatiebeveiliging blijven op deze wijze effectief en efficiënt verlopen of zullen daar verdere verbetering in aanbrengen.
Dit kan worden bereikt door:
  • a) procedures voor monitoring en beoordeling en andere beheersmaatregelen uitvoeren om:
    • fouten in de informatievoorziening snel te ontdekken;
    • al dan niet succesvolle inbreuken op de beveiliging en beveiligingsincidenten snel te identificeren;
    • de directie in staat stellen te bepalen of de beveiligingsactiviteiten die aan personeel zijn gedelegeerd of die in informatietechnologiesystemen zijn geïmplementeerd volgens verwachting presteren;
    • helpen beveiligingsgebeurtenissen te ontdekken en zodoende beveiligingsincidenten te voorkomen door het gebruik van indicators; en
    • vaststellen of de maatregelen die werden genomen om een beveiligingslek te dichten doeltreffend waren;
  • b) regelmatig de doeltreffendheid van het ISMS beoordelen (waaronder controle of wordt voldaan aan informatiebeveiligingsbeleid en of ISMS-doelstellingen worden gehaald, en waarbij beveiligingsmaatregelen worden beoordeeld) waarbij rekening wordt gehouden met de resultaten van beveiligingsaudits en beveiligingsincidenten, resultaten van metingen van de doeltreffendheid, suggesties en feedback van alle belanghebbenden;
  • c) de doeltreffendheid meten van beheersmaatregelen om te verifiëren of aan de beveiligingseisen is voldaan (zie ook EN- ISO/IEC 27004 [5]);
  • d) risicobeoordelingen met geplande tussenpozen beoordelen en de restrisico’s en geïdentificeerde aanvaardbare risiconiveaus beoordelen, waarbij rekening wordt gehouden met wijzigingen in de organisatie, de technologie, bedrijfsdoelstellingen en -processen, geïdentificeerde bedreigingen, doeltreffendheid van geïmplementeerde beheersmaatregelen, externe gebeurtenissen, zoals wijzigingen in relevante wet- of regelgeving, gewijzigde contractuele verplichtingen en wijzigingen in maatschappelijke omstandigheden;
  • e) interne ISMS-audits uitvoeren met geplande tussenpozen (zie 4.5.2);
  • f) regelmatig een directiebeoordeling van het ISMS uitvoeren, om te bewerkstelligen dat de reikwijdte ervan blijft voldoen en dat verbeteringen in het ISMS-proces worden geïdentificeerd (zie 4.5.3);
  • g) beveiligingsplannen bijwerken om rekening te houden met bevindingen van controle- en beoordelingsactiviteiten;
  • h) maatregelen en gebeurtenissen registreren die de doeltreffendheid of de prestaties van het ISMS zouden kunnen beïnvloeden (zie 4.7.2).

4.5.2   Interne ISMS-audits

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet met geplande tussenpozen interne ISMS-audits uitvoeren om vast te stellen of de beheersdoelstellingen, beheersmaatregelen, processen en procedures:
  • a) voldoen aan de eisen van deze norm en relevante wetten of voorschriften;
  • b) voldoen aan de geïdentificeerde eisen voor informatiebeveiliging;
  • c) doeltreffend zijn geïmplementeerd en worden bijgehouden; en
  • d) naar verwachting presteren.
    Dit kan worden bereikt door:
    • plannen van en auditprogramma, waarbij rekening wordt gehouden met de status en het belang van de processen en gebieden die een audit moeten ondergaan, evenals met de resultaten van vorige audits;
    • definiëren van auditcriteria, de reikwijdte, de frequentie en de methoden;
    • bewerkstelligen van onpartijdigheid van het auditproces door keuze van de auditors en de manier waarop de audits worden uitgevoerd (auditors mogen geen audit uitvoeren over hun eigen werk);
    • de verantwoordelijkheden en eisen voor het plannen en uitvoeren van audits, en voor het rapporteren van resultaten en het bijhouden van registraties te definiëren in een gedocumenteerde procedure;
    • leidinggevenden die verantwoordelijk zijn voor het gebied dat een audit ondergaat laten bewerkstelligen dat zonder onnodig uitstel maatregelen worden getroffen om ontdekte afwijkingen en hun oorzaken op te heffen;
    • vervolgactiviteiten die bestaan uit verificatie van de genomen maatregelen en de rapportage van verificatieresultaten.

    OPMERKING ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, kan nuttige richtlijnen bieden voor het uitvoeren van interne ISMS-audits.

    OPMERKING Voor meer informatie over interne audits, zie Bijlage C.

4.5.3   Directiebeoordeling van het ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet het ISMS van de organisatie met geplande tussenpozen beoordelen (bijvoorbeeld eenmaal per jaar), om te bewerkstelligen dat dit continu geschikt, passend en doeltreffend is. Deze beoordeling moet het onderzoeken van kansen voor verbetering omvatten alsmede de noodzaak van wijzigingen in het ISMS, waaronder het informatiebeveiligingsbeleid en de informatiebeveiligingsdoel-stellingen.
De resultaten van de beoordelingen moeten duidelijk worden gedocumenteerd en er moeten registraties worden bijgehouden (zie 4.7.2).
De input voor de directiebeoordeling kan de volgende elementen omvatten:
  • a) resultaten van ISMS-audits en -beoordelingen;
  • b) feedback van belanghebbenden;
  • c) technieken, producten of procedures die in de organisatie zouden kunnen worden gebruikt om de prestaties en doeltreffendheid van het ISMS te verbeteren;
  • d) de status van preventieve en corrigerende maatregelen;
  • e) kwetsbaarheden of bedreigingen die in de vorige risicobeoordeling niet afdoende zijn behandeld;
  • f) resultaten van metingen van doeltreffendheid;
  • g) vervolgmaatregelen van vorige directiebeoordelingen;
  • h) eventuele wijzigingen die het ISMS kunnen beïnvloeden; en
  • i) aanbevelingen voor verbetering.
De directiebeoordeling zal leiden tot besluiten en maatregelen met betrekking tot de volgende aspecten:
  • a) verbetering van de doeltreffendheid van het ISMS;
  • b) bijwerken van het plan voor risicobeoordeling en risicobehandeling;
  • c) wijzigingen in procedures en beheersmaatregelen die van invloed zijn op informatiebeveiliging, voorzover noodzakelijk, om te reageren op interne of externe gebeurtenissen die het ISMS kunnen beïnvloeden waaronder wijzigingen in:
    • eisen van de bedrijfsvoering;
    • beveiligingseisen;
    • bedrijfsprocessen die van invloed zijn op bestaande bedrijfseisen;
    • eisen uit wet- of regelgeving;
    • contractuele verplichtingen;
    • risiconiveaus en/of criteria voor risicoaanvaarding;
  • d) behoefte aan middelen; en
  • e) verbetering in de manier waarop de doeltreffendheid van de beheersmaatregelen wordt gemeten.

4.6   ACT: het ISMS onderhouden en verbeteren

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
ACT: Corrigerende en preventieve maatregelen nemen, op basis van de resultaten van de interne ISMSaudit en de directiebeoordeling of andere relevante informatie, om continue verbetering van het ISMS te bewerkstelligen.

4.6.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De directie moet het ISMS onderhouden en verbeteren.
Dit kan worden bereikt door:
  • a) de geïdentificeerde verbeteringen in het ISMS te implementeren;
  • b) geschikte corrigerende en preventieve maatregelen te treffen volgens 4.6.3 en 4.6.4. De lessen uit de ervaringen met beveiliging in andere organisaties en de organisatie zelf in praktijk te brengen;
  • c) de maatregelen en verbeteringen kenbaar te maken aan alle belanghebbenden in een mate van detail die is afgestemd op de omstandigheden, en voorzover relevant, overeen te komen hoe verder te gaan;
  • d) te bewerkstelligen dat de verbeteringen het beoogde doel bereiken.

4.6.2   Continue verbetering

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet continu de doeltreffendheid van het ISMS verbeteren door gebruikmaking van het informatiebeveiligingsbeleid, de informatiebeveiligingsdoelstellingen, auditresultaten, analyse van gecontroleerde gebeurtenissen, corrigerende en preventieve maatregelen en de directiebeoordeling.

4.6.3   Corrigerende maatregelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet maatregelen treffen om de oorzaak van afwijkingen van de ISMS-eisen op te heffen om herhaling te voorkomen.
Dit kan worden bereikt door in de gedocumenteerde pro­ce­dure voor corrigerende maatregelen eisen te definiëren voor het:
  • a) identificeren van afwijkingen;
  • b) vaststellen van de oorzaken van afwijkingen;
  • c) beoordelen van de noodzaak van maat­regelen om te bewerkstelligen dat afwijkingen zich niet opnieuw voordoen;
  • d) vaststellen welke corrigerende maatregelen nodig zijn en deze implementeren;
  • e) registreren van de resultaten van de getroffen maatregelen (zie 4.7.2); en
  • f) beoordelen van de getroffen corrigerende maatregelen.

4.6.4   Preventieve maatregelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De organisatie moet maatregelen vaststellen om de oorzaak van mogelijke afwijkingen van de ISMS-eisen op te heffen om te voorkomen dat ze zich voordoen. Preventieve maatregelen moeten zijn afgestemd op de gevolgen van de mogelijke problemen.
Dit kan worden bereikt door in de gedocumenteerde procedure voor preventieve maatregelen eisen te definiëren voor het:
  • a) identificeren van mogelijke afwijkingen en hun oorzaken;
  • b) beoordelen van de noodzaak om maatregelen om te voorkomen dat afwijkingen zich voordoen;
  • c) vaststellen en implementeren van de benodigde preventieve maatregelen;
  • d) registreren van de resultaten van de getroffen maatregelen; en
  • e) beoordelen van de getroffen preventieve maatregelen.
Aandachtspunten daarbij zijn:
  • het identificeren van gewijzigde risico's en het vaststellen van eisen voor preventieve maatregelen die zijn gericht op significant gewijzigde risico's;
  • het vaststellen van prioriteit van preventieve maatregelen op basis van de resultaten van de risicobeoordeling.
Het plan voor verbetering van beveiliging zoals in 4.4 beschreven, is eveneens een belangrijk instrument voor het aantonen van voortgang en verbetering van processen.

4.7   Documentatie van het ISMS

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

4.7.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De documentatie moet registraties van directiebesluiten omvatten, bewerkstelli­gen dat maatregelen herleidbaar zijn tot besluiten en beleid van de directie en bewerkstelligen dat de geregistreerde resultaten reproduceerbaar zijn.
Dit kan worden bereikt met een ISMS-documentatie die het volgende omvat:
  • a) gedocumenteerde verklaringen van het ISMS-beleid (zie 4.3b) en de ISMS-doelstellingen;
  • b) de reikwijdte van het ISMS (zie 4.3a);
  • c) procedures en beheersmaatregelen die het ISMS ondersteunen;
  • d) een beschrijving van de methode voor risicobeoordeling (zie 4.3c);
  • e) het rapport van de risicobeoordeling (zie 4.3c) t.m. 4.3g);
  • f) het plan voor risicobehandeling (zie 4.4.1b);
  • g) gedocumenteerde procedures die de organisatie nodig heeft om doeltreffende planning, uitvoering en beheersing van de processen voor informatiebeveiliging te bewerkstelligen, en te beschrijven hoe de doeltreffendheid van de beheers­maatregelen moet worden gemeten (zie 4.5.1c);
  • h) registraties vereist door deze norm (zie 4.7.2); en
  • i) de verklaring van toepasselijkheid.
Aangezien de gezondheidszorg een sector is met significante nalevings­verplichtingen (zowel wettelijk als beroepsmatig) en verantwoordelijkheden met betrekking tot risicomanagement, behoort een output waarin onderling samenhangende risicobeoordelingen, uitgevoerd door verschillende disciplines of functionele groepen, worden samengebracht te worden overwogen als hulpmiddel voor besturing van de informatievoorziening en ook om de integriteit van afzonderlijke risicobeoordelingen te bewerkstelligen.

OPMERKING 1 Het is belangrijk dat de relatie kan worden getoond tussen de gekozen beheersmaatregelen en de resultaten van het proces van risicobeoordeling en risicobehandeling, en weer terug naar het beleid en de doelstellingen.

OPMERKING 2 Waar in deze norm de term ‘gedocumenteerde procedure’ wordt gebruikt, betekent dit dat de procedure is opgezet, gedocumenteerd en geïmplementeerd en wordt bijgehouden.

OPMERKING 3 De reikwijdte van de ISMS-documentatie kan per organisatie verschillen afhankelijk van de omvang van de organisatie en het type activiteiten en de reikwijdte en complexiteit van de beveiligingseisen en het beheerde systeem.

OPMERKING 4 Documenten en registraties kunnen in elke vorm en op elk soort medium zijn vastgelegd.

4.7.2   Beheersing van documenten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Documenten die door het ISMS worden vereist, moeten worden beschermd en beheerst.
Dit kan worden bereikt met een vastgestelde en gedocumenteerde procedure om te definiëren welke handelingen van de directie nodig zijn om:
  • a) documenten goed te keuren op geschiktheid alvorens ze worden uitgegeven;
  • b) documenten te beoordelen en indien nodig bij te werken, en ze opnieuw goed te keuren;
  • c) te bewerkstelligen dat wijzigingen en de actuele revisiestatus van de documenten zijn geïdentificeerd;
  • d) te bewerkstelligen dat voor van toepassing zijnde documenten relevante versies beschikbaar zijn op werkplekken;
  • e) te bewerkstelligen dat documenten leesbaar en gemakkelijk identificeerbaar blijven;
  • f) te bewerkstelligen dat documenten beschikbaar zijn voor degenen die ze nodig hebben, en worden overgedragen, opgeslagen en uiteindelijk verwijderd volgens de procedures die van toepassing zijn op hun classificatie;
  • g) te bewerkstelligen dat documenten van externe oorsprong worden geïdentificeerd;
  • h) te bewerkstelligen dat de verspreiding van documenten wordt beheerst;
  • i) onbedoeld gebruik van verouderde documenten te voorkomen; en
  • j) geschikte identificatie op de documenten aan te brengen indien ze voor welk doel dan ook moeten worden bewaard.

4.7.3   Beheersing van registraties

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Er moeten registraties worden vastgesteld en bijgehouden om te kunnen bewijzen dat de eisen van het ISMS worden nageleefd en dat het ISMS doeltreffend wordt uitgevoerd. Deze registraties moeten worden beschermd en beheerst.
Aandachtspunten daarbij zijn:
  • in het ISMS rekening houden met relevante eisen uit wet- of regelgeving en contractuele verplichtingen;
  • het leesbaar, gemakkelijk identificeerbaar en opvraagbaar blijven van registraties;
  • het documenteren en implementeren van de vereiste beheersmaatregelen voor identificatie, opslag, bescherming, opvraging, bewaartijd en verwijdering van registraties;
  • het bijhouden van registraties van de prestaties van het proces zoals aangegeven in 4.2 en van alle significante beveiligingsincidenten die betrekking hebben op het ISMS.

VOORBEELD

Voorbeelden van registraties zijn een gastenboek, auditregistraties en ingevulde formulieren voor toekenning van toegangsbevoegdheden.