Bijlage A

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(informatief)

Analyse van de complexiteit en sectorspecifieke aspecten van de organisatie van een klant

A.1   Het risicopotentieel van een organisatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Wanneer beslissingen worden genomen over de duur van de audit en de competentie van de auditor behoort de complexiteit van de reikwijdte van het ISMS in aanmerking te worden genomen. In deze bijlage is een voorbeeld opgenomen om de complexiteit van de organisatie van een klant te analyseren.
De aan de scope van een ISMS toegekende complexiteitscategorie kan worden gebruikt om een beslissing te nemen ten aanzien van
  • a) de eisen die worden gesteld aan de competentie van de auditor om de ISMS-audit uit te voeren (zie bijlage B );
  • b) de eisen die worden gesteld aan de duur van de ISMS-audit (zie bijlage C).
Tabel A.2 geeft een algemene indicatie van de mogelijke factoren die in aanmerking kunnen worden genomen wanneer beslissingen worden genomen over de complexiteit van de reikwijdte van een ISMS. De tabel kan, waar dit van toepassing wordt geacht, worden aangepast aan specifieke omstandigheden of worden aangevuld met speciale factoren.
Door de complexiteitscriteria afzonderlijk toe te passen, kunnen aspecten van de reikwijdte van een ISMS in drie complexiteitscategorieën worden ingedeeld: ‘hoog’, ‘gemiddeld’ en ‘laag’, met gebruikmaking van een aantal verschillende factoren. De drie categorieën kunnen worden gekoppeld aan zorgorganisaties die in meer of mindere mate van dezelfde beveiligingsrichtlijnen gebruikmaken. De informatievoorziening van bijvoorbeeld een huisarts verschilt van die van een academisch ziekenhuis, evenals de manier waarop zij hun beveiligingsproblemen oplossen. De te treffen maatregelen voor het waarborgen van informatiebeveiliging zullen hierdoor ook wezenlijk van elkaar verschillen. In de drie categorieën zijn daarom vergelijkbare soorten instellingen bijeengebracht met vergelijkbare beveiligingsproblemen, bijvoorbeeld de huisarts- en de fysiotherapiepraktijk.
Bij de indeling in categorieën zijn de volgende criteria gehanteerd: organisatievorm (met directie of zonder), en complexiteit van de informatievoorziening (met als twee uitersten de eenmanspraktijk en de centraal aangestuurde organisatie met een eigen informatie- en communicatietechnologie (ICT)-afdeling). Zie tabel A.1.
Tabel A.1Complexiteitscategorieën van de reikwijdte van een ISMS
Organisatie Met directie Zonder directie
Met eigenstandige informatievoorziening Hoog Gemiddeld
Zonder eigenstandige informatievoorziening Gemiddeld Laag
Voorbeelden van organisaties waarop de categorie ‘hoog’ van toepassing is, zijn algemene ziekenhuizen, universitaire medische centra, gezondheidscentra, GGD- en GGZ-instellingen.
Voorbeelden van organisaties waarop de categorie ‘gemiddeld’ van toepassing is, zijn thuiszorginstellingen, verpleegtehuizen, bloedbanken, regionale ambulancevoorzieningen revalidatie-instellingen.
Voorbeelden van organisaties waarop de categorie ‘laag’ van toepassing is, zijn, alleen praktiserende en in samenwerkingsverband praktiserende apothekers, huisartsen, fysiotherapeuten, psychiaters, psychologen en tandartsen.
Tabel A.2 geeft de criteria voor de complexiteit van de reikwijdte van het ISMS.
Tabel A.2Criteria voor de complexiteit van de reikwijdte van het ISMS
Complexiteitsfactor Categorie Significantie
Hoog Gemiddeld Laag
Aantal medewerkers + contractanten ≥ 1 000 ≥ 200 < 200
  • Implementatieschaal van ISMS
  • Managementinformatiesysteem
Aantal gebruikers ≥ 1 miljoen ≥ 200 000 < 200 000
  • Medische/ziekenhuissystemen
Aantal vestigingen ≥ 5 ≥ 2 1
  • Implementatieschaal van ISMS
  • Fysieke beveiliging en beveiliging van de omgeving ( NEN 7510, hoofdstuk 9)
Aantal servers ≥ 100 ≥ 10 < 10
  • Implementatieschaal van ISMS
  • Fysieke beveiliging en beveiliging van de omgeving ( NEN 7510, hoofdstuk 9)
  • Toegangsbeveiliging
    ( NEN 7510, hoofdstuk 11)
  • Beheer van communicatie- en bedieningsprocessen
    ( NEN 7510, hoofdstuk 10)
Aantal werkstations + pc’s + laptops ≥ 300 ≥ 50 < 50
  • Toegangsbeveiliging
    ( NEN 7510, hoofdstuk 11 )
Aantal applicatieontwikkelings- en onderhoudsmedewerkers ≥ 100 ≥ 20 < 20
  • Verwerving, ontwikkeling en onderhoud van informatiesystemen
    ( NEN 7510, hoofdstuk 12)
Netwerk- en encryptietechnologie Externe / internetverbinding met encryptie / digitale handtekening / PKI-eisen Externe / internetverbinding met gebruik van encryptie in ingebouwde standaardfaciliteiten / zonder digitale handtekening / PKI-eisen Externe / internetverbinding zonder encryptie / digitale handtekening / PKI-eisen
  • Beheer van communicatie- en bedieningsprocessen
    ( NEN 7510, hoofdstuk 10)
  • Toegangsbeveiliging
    ( NEN 7510, hoofdstuk 11)
Significantie in naleving wetgeving Niet-naleving leidt tot mogelijke rechtsvervolging Niet-naleving leidt tot mogelijke rechtsvervolging Niet-naleving leidt tot mogelijke rechtsvervolging
  • Naleving
    ( NEN 7510, hoofdstuk 15)
Toepasselijkheid van sectorspecifiek risico Sectorspecifieke wet- en regelgeving van toepassing Sectorspecifieke wet- en regelgeving van toepassing Sectorspecifieke wet- en regelgeving van toepassing
  • Implementatieschaal van ISMS
  • Naleving
    ( NEN 7510, hoofdstuk 15)
De getallen in de tabel dienen alleen ter illustratie, en certificatie-instellingen behoren hiervoor hun eigen waarden vast te stellen.