Bijlage G

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(normatief)

Interpretatie van hoofdstuk 4 uit NEN 7510

Voor certificatie tegen NEN 7510 met als onderliggend certificatieschema NTA 7515 gelden onderstaande eisen ter vervanging van hoofdstuk 4 van NEN 7510:2011 met betrekking tot het managementsysteem. In deze annex is elk van de paragrafen 4.1 tot en met 4.7.3 toetsbaar gemaakt.

OPMERKING 1 Voor certificatie tegen NEN 7510 met als onderliggend certificatieschema NTA 7515 geldt het volgende: Het voorwoord in NEN 7510 is niet van toepassing.

OPMERKING 2 De beheersdoelstellingen en beheersmaatregelen in hoofdstukken 5 t.m. 15 zijn niet uitputtend; een organisatie kan besluiten dat aanvullende beheersdoelstellingen en beheersmaatregelen noodzakelijk zijn of dat beheersdoelstellingen en beheersmaatregelen niet van toepassing zijn. Beheersdoelstellingen en beheersmaatregelen uit hoofdstukken 5 t.m. 15 moeten worden gekozen als onderdeel van het ISMS-proces zoals gespecificeerd in 4.3 van NTA 7515:2015. De aandachtspunten en aanbevelingen uit hoofdstukken 5 t.m. 15 zijn richtingevend bij implementatie, niet verplichtend. Een organisatie kan deze overwegen voor optimale implementatie ter ondersteuning van de beheersmaatregelen in die hoofdstukken.

OPMERKING 3 Voor certificatie tegen NEN 7510 met als onderliggend certificatieschema NTA 7515 geldt het volgende: Paragraaf 4.2.3 van hoofdstuk 4 uit NEN 7510 is niet van toepassing.

4 Aanpak van de informatiebeveiliging
4.1 Managementsysteem voor informatiebeveiliging: ISMS
De organisatie moet een gedocumenteerd ISMS vaststellen, implementeren, uitvoeren, controleren,
beoordelen, bijhouden en verbeteren binnen het kader van de algemene bedrijfsactiviteiten en -risico’s van de organisatie.
Een 'Information Security Management System (ISMS)' biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. Bijlage G van NTA 7515 is daarvoor de norm. Dat document beschrijft het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten.
De procesbenadering in deze norm beoogt voor gebruikers het belang te onderstrepen van:
  • a) inzicht in de eisen van de organisatie ten aanzien van informatiebeveiliging en de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging;
  • b) implementeren en uitvoeren van beheersmaatregelen om de risico's voor informatiebeveiliging voor de organisatie te beheren ten opzichte van de algemene bedrijfsrisico's van de organisatie;
  • c) controleren en beoordelen van de prestaties en de doeltreffendheid van het ISMS en
  • d) continue verbetering, gebaseerd op objectieve meting.
Volledige naleving van deze norm houdt in dat een organisatie kan aantonen dat zij een operationeel ISMS hanteert met geschikte auditprocessen om naleving te controleren. Zie ook hoofdstuk 15.
Waar mogelijk integreren organisaties hun ISMS met de processen voor borging van kwaliteit en patiëntveiligheid en houden zij rekening met de eisen genoemd in 4.3 t.m. 4.6.
Informatiebeveiliging wordt, in navolging van andere sectoren, ook in de zorgsector steeds meer verlegd van een technisch 'back office'-proces naar een prominent proces voor de organisatie als geheel. In deze norm wordt het ISMS beschouwd als overkoepelend besturingsproces voor beleid en uitvoering van de informatiebeveiliging.
Figuur 2 illustreert hoe het ISMS de eisen voor informatie­beveiliging en de verwachtingen van de belanghebbende partijen als input gebruikt, en door middel van de nodige maatregelen en processen, beveiliging van informatie biedt die aan die eisen en verwachtingen voldoet.
Figuur 2 toont ook de onderlinge samen­hang van de processen zoals beschreven in 4.3 t.m. 4.6.

OPMERKING 1 Organisaties die de normen voor informatiebeveiliging in een zorgomgeving invoeren zullen merken dat de meeste beheersdoelstellingen in vrijwel elke situatie van toepassing zijn.

OPMERKING 2 Organisaties die de normen in de gezondheidszorg toepassen worden geacht situaties te herkennen die mogelijk aanvullende beheersdoelstellingen vereisen.

Figuur 2PDCA-model toegepast op ISMS-processen
fig_2
Plan (het ISMS vaststellen) Het vaststellen van het ISMS en de doelstellingen, processen en procedures die relevant zijn voor het risicomanagement en verbetering van de informatiebeveiliging, teneinde resultaten te leveren die in overeenstemming zijn met algemene beleidslijnen en doelstellingen van de organisatie.
Do (het ISMS implementeren en uitvoeren) Het implementeren en uitvoeren van het ISMS, beheersmaatregelen,
processen en procedures.
Check (het ISMS controleren en beoordelen) Beoordelen en, voorzover van toepassing, meten van procesprestaties ten opzichte van het ISMS en de doelstellingen en ervaring uit de praktijk, en rapportage van de resultaten aan de directie ter beoordeling.
Act (het ISMS bijhouden en verbeteren) Corrigerende en preventieve maatregelen nemen, op basis van de resultaten van de interne ISMS-audit en de directiebeoordeling of andere relevante informatie, om continue verbetering van het ISMS te bewerkstelligen.
Bijlage A bevat informatieve voorbeelden van de stappen die doorgaans deel uitmaken van elke fase in de cyclus, tezamen met voorbeelden van de typen documenten die daarbij worden gehanteerd.
4.2 Directieverantwoordelijkheid
4.2.1 Toewijzen verantwoordelijkheden
De directie moet verantwoordelijkheden ten aanzien van het ISMS toewijzen.
Vervolgens geldt dit ten aanzien van de verantwoordelijkheden voor de beveiliging van individuele bedrijfsprocessen, bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen.
Hierbij zijn verschillende verantwoordelijkheden te benoemen. Internationaal wordt vaak gebruik gemaakt van het zogenaamde RACI-model. Dit model maakt onderscheid naar de volgende verantwoordelijkheden:
  • * R: Responsible, verantwoordelijk, degene die de taak uitvoert en verantwoording aflegt aan degene die accountable is;
  • * A: Accountable, eindverantwoordelijk, degene die eindverantwoordelijk en beslissingsbevoegd is;
  • * C: Consulted, raadplegen, degene die vooraf wordt geraadpleegd en advies geeft over de te nemen beslissing;
  • * I: Informed, informeren, degene die achteraf over de genomen beslissing wordt geïnformeerd.
Zie verder ook 6.1.3.
4.2.2 Actieve betrokkenheid
De directie moet bewijs leveren van haar betrokkenheid met betrekking tot het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het ISMS door:
  • a) Een ISMS-beleid vast te stellen;
  • b) strategie en invoering van het ISMS te bepalen en het ISMS vast te stellen;
  • c) te bewerkstelligen dat beleid en plannen voor informatiebeveiliging worden vastgesteld;
  • d) rollen en verantwoordelijkheden vast te stellen ten aanzien van ontwikkeling en onderhoud van het ISMS;
  • e) in de organisatie het belang kenbaar te maken van het voldoen aan doelstel­lin­gen voor informatiebeveiliging en het naleven van het informatie­beveiligings­beleid, de wettelijke verantwoordelijk­heden en de noodzaak van continue verbetering;
  • f) afdoende middelen beschikbaar te stellen om het ISMS te ontwikkelen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren (zie 4.4.2);
  • g) de criteria vast te stellen voor de aanvaarding van risico's en aanvaardbare risiconiveaus;
  • h) te bewerkstelligen dat interne ISMS-audits worden uitgevoerd (zie 4.5.2);
  • i) directiebeoordelingen van het ISMS uit te voeren (zie 4.5.3).
4.3 PLAN: het ISMS vaststellen
PLAN: Het vaststellen van het ISMS en de doelstellingen, processen en procedures die relevant zijn voor het risicomanagement en verbetering van de informatiebeveiliging, teneinde resultaten te leveren die in overeenstemming zijn met algemene beleidslijnen en doelstellingen van de organisatie.
De organisatie moet het volgende doen:
  • a) toepassingsgebied en grenzen van het ISMS vaststellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied;
  • b) beleid voor het ISMS vaststellen met betrekking tot kenmerken van bedrijfs­voering, organisatie, locatie, bedrijfs­middelen en technologie dat:
    • een raamwerk omvat voor het vaststellen van doelstellingen en dat in het algemeen richting geeft aan en begin­selen voor maatregelen aanduidt ten behoeve van informatiebeveiliging;
    • rekening houdt met eisen voor de bedrijfsvoering evenals eisen uit wet- of regelgeving en contractuele verplichtingen voor beveiliging;
    • is afgestemd op het strategische kader van de organisatie voor het risicomanagement waarin het ISMS wordt vastgesteld en bijgehouden;
    • criteria vaststelt aan de hand waarvan het risico wordt beoordeeld;
    • door de directie is goedgekeurd.

    OPMERKING Met betrekking tot deze norm wordt het ISMS-beleid beschouwd als overkoepelend voor het beleid voor informatiebeveiliging. Deze beleidslijnen kunnen in één document worden beschreven.

  • c) vaststellen welke benadering voor risicobeoordeling wordt gekozen in de organisatie met aandacht voor:
    • een methode voor risicobeoordeling die is afgestemd op het ISMS, maar ook op de geïdentificeerde eisen voor beveiliging van bedrijfsinformatie en eisen uit wet- en regelgeving;
    • criteria ontwikkelen voor de aanvaarding van risico's en vaststellen welke risiconiveaus aanvaardbaar zijn;
    • de gekozen methoden voor risicobeoordeling moeten bewerkstelligen dat risicobeoordelingen vergelijkbare en herhaalbare resultaten leveren;
  • d) risico’s identificeren:
    • de bedrijfsmiddelen identificeren binnen de reikwijdte van het ISMS en de verantwoordelijke eigenaren van deze bedrijfsmiddelen (noot: de term 'eigenaar' verwijst naar een persoon of entiteit met goedgekeurde managementverantwoordelijkheid voor het beheersen van productie, ontwikkeling, onderhoud, gebruik en beveiliging van de bedrijfsmiddelen. De term 'eigenaar' houdt niet in dat deze persoon daadwerkelijk eigendomsrechten op de bedrijfsmiddelen kan doen gelden);
    • de bedreigingen voor deze bedrijfsmiddelen identificeren;
    • de zwakke plekken identificeren die vatbaar kunnen zijn voor de bedreigingen;
    • de mogelijke gevolgen identificeren die verlies van vertrouwelijkheid, integriteit en beschikbaarheid kunnen hebben voor de bedrijfsmiddelen;
  • e) de risico’s analyseren en beoordelen:
    • beoordelen welke schade de organisatie waarschijnlijk zal ondervinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen worden geschonden;
    • beoordeling van de waarschijnlijk­heid dat een beveiligingsstoring optreedt in het licht van de aanwezige bedreigingen en kwetsbaarheden, en gevolgen voor deze bedrijfsmiddelen, en de huidige getroffen beheersmaatregelen;
    • een inschatting maken van de risiconiveaus;
    • vaststellen of de risico's aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding die in c) zijn vastgesteld;
  • f) opties voor de behandeling van de risico’s te identificeren en beoordelen;
    Dit omvat maatregelen als het toepassen van geschikte beheersmaatregelen, bewust en objectief risico's aanvaarden, mits deze duidelijk voldoen aan het beleid van de organisatie en de criteria voor de aanvaarding van risico's (evenals eisen uit wet- en regelgeving en contractuele verplichtingen), risico's vermijden en de desbetreffende bedrijfsrisico's overdragen aan anderen, bijv. verzekeringsmaatschappijen, leveranciers;
  • g) beheersdoelstellingen en maatregelen voor de behandeling van de risico’s kiezen;
    beheersdoelstellingen en beheersmaatregelen moeten worden gekozen en geïmplementeerd om te voldoen aan de eisen die zijn vastgesteld in de processen voor risicobeoordeling en risicobehandeling. Bij deze keuze moet rekening worden gehouden met de criteria voor het aanvaarden van risico's.
    Als onderdeel van dit proces moeten beheersdoelstellingen en beheersmaatregelen uit hoofdstuk 5 t.m. 15 worden gekozen, voor zover geschikt om aan de vastgestelde eisen te voldoen.
    Het overzicht van beheersdoelstellingen en beheersmaatregelen in deze norm is niet uitputtend; eventueel kunnen aanvullende beheersdoelstellingen en beheersmaatregelen worden gekozen;
  • h) goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico's.
    Als aanvulling op c) tot en met h) geldt dat in de zorgsector een aantal aspecten meespeelt die extra aandacht verdienen. Er is een relatief groot risico van ernstige gezondheidsschade of dood. Ook kenmerkt de zorg zich door vergaande integratie van patiëntroutes en informatievoorzieningen. Bij dit alles is het belangrijk om de hoge eis aan beschikbaarheid van gegevens af te wegen tegen eisen van vertrouwelijkheid.
    Doeltreffende risicobeoordeling voor informatiebeveiliging in de gezondheidszorg vereist de beschikbaarheid van de volgende vaardigheden en kennis:
    • kennis van klinische en verpleegkundige processen, met inbegrip van zorgprotocollen en overdrachtswegen;
    • kennis van de formaten van klinische gegevens en de mogelijkheid dat deze gegevens worden misbruikt;
    • kennis van de externe omgevingsfactoren die een of meer van de niveaus van de eerder beschreven risicocomponenten kunnen verhogen of verlagen;
    • informatie over kenmerken van informatiesystemen en medische appara­tuur en prestatie/storingskenmerken;
    • kennis van incidenten uit het verleden en gevolgscenario's voor actuele dossiers;
    • gedetailleerde kennis van systeem­architectuur;
    • bekendheid met programma's voor wijzigingsbeheer die een of meer van de niveaus van risicocom­ponenten kunnen veranderen.
  • i) goedkeuring van de directie verkrijgen om het ISMS te implementeren en uit te voeren;
  • j) een verklaring van toepasselijkheid opstellen. Deze omvat:
    • de beheersdoelstellingen en beheersmaatregelen die in g) werden gekozen en de redenen voor hun keuze;
    • de beheersdoelstellingen en beheersmaatregelen die op dit moment zijn geïmplementeerd (zie e));
    • de uitsluiting van eventuele beheersdoelstellingen en beheersmaatregelen uit hoofdstuk 5 t.m. 15 en de rechtvaardiging voor deze uitsluiting.
De verklaring van toepasselijkheid biedt een overzicht van besluiten met betrekking tot risicobehandeling. Rechtvaardiging van uitsluitingen biedt een extra controle dat er geen beheersmaatregelen ten onrechte zijn weggelaten.

OPMERKING Deze processen voltrekken zich in fasen, worden samengevoegd, uitgebreid en herhaald, hetgeen betekent dat de informatie herhaaldelijk wordt bewerkt en hergebruikt in meer processen, waarbij de resultaten van latere processen vaak leiden tot wijzigingen in eerdere processen. Ten slotte worden beslissingen doorgaans genomen onder invloed van een reeks factoren die een grote mate van onderlinge terugkoppeling vereisen. Er wordt aanbevolen ondersteunende hulpmiddelen in te zetten die het proces van naleving van deze norm kunnen ondersteunen.

4.4 DO: het ISMS implementeren en uitvoeren
DO: Het implementeren en uitvoeren van het ISMS, beheersmaatregelen, processen en procedures.
4.4.1 Implementeren en uitvoeren ISMS
De organisatie moet het ISMS implementeren en uitvoeren. De organisatie moet hiervoor het volgende doen:
  • a) een plan formuleren voor de risico­behandeling waarin de geschikte maatregelen, middelen, verantwoordelijkheden en prioriteiten worden vastge­legd voor het beheer van risico’s voor informatiebeveiliging (zie 4.2);
  • b) het plan voor risicobehandeling implementeren om de geïdentificeerde beheersdoelstellingen te halen, hetgeen financiering omvat evenals toewijzing van rollen en verantwoordelijkheden;
  • c) de in 4.3g) gekozen beheersmaatregelen implementeren om aan de beheersdoelstellingen te voldoen;
  • d) vaststellen hoe de doeltreffendheid van de gekozen beheersmaatregelen of groepen beheersmaatregelen moet worden gemeten en specificeren hoe deze metingen moeten worden gebruikt om de doeltreffendheid van de beheersmaat­regelen te beoordelen, om vergelijkbare en herhaalbare resultaten te bereiken (zie 4.3c);
  • e) programma's voor training en bewustzijn implementeren (zie 4.4.3);
  • f) de uitvoering van het ISMS beheren;
  • g) de middelen voor het ISMS beheren (zie 4.4.2);
  • h) procedures en andere beheersmaatregelen implementeren voor snelle detectie van beveiligings­gebeurtenissen en reactie op beveiligingsincidenten (zie 4.5.1a)).
4.4.2 Beschikbaar stellen van middelen
De organisatie moet vaststellen welke middelen nodig zijn en deze benodigde middelen beschikbaar stellen om:
  • a) een ISMS vast te stellen, te implementeren, uit te voeren, te controleren, te beoordelen, bij te houden en te verbeteren;
  • b) te bewerkstelligen dat procedures voor informatiebeveiliging de eisen van de bedrijfsvoering ondersteunen;
  • c) eisen uit wet- en regelgeving en contractuele verplichtingen voor beveiliging te identificeren en na te leven;
  • d) een geschikt niveau van beveiliging te handhaven door correcte toepassing van alle geïmplementeerde beheersmaatregelen;
  • e) wanneer dat nodig is beoordelingen uit te voeren en op geschikte wijze te handelen naar de resultaten van deze beoordelingen; en
  • f) waar nodig de doeltreffendheid van het ISMS te verbeteren.
4.4.3 Training, bewustzijn en bekwaamheid voor het ISMS
De organisatie moet bewerkstelligen dat alle medewerkers aan wie verantwoordelijkheden zijn toegewezen die in het ISMS zijn gedefinieerd, afdoende bekwaam zijn om de vereiste taken uit te voeren door:
  • a) vast te stellen over welke bekwaamheden personeel moet beschikken dat werkzaamheden uitvoert die het ISMS beïnvloeden;
  • b) training te bieden of andere maatregelen te nemen (bijv. het aantrekken van bekwaam personeel) om aan deze behoeften te voldoen;
  • c) de doeltreffendheid van de ondernomen acties te beoordelen; en
  • d) registraties bij te houden van opleiding, training, vaardigheden, ervaring en kwalificaties (zie 4.7.3).
De organisatie moet ook bewerkstelligen dat het betrokken personeel zich bewust is van de relevantie en het belang van hun activiteiten op het gebied van informatiebeveiliging en hoe zij bijdragen aan het halen van de ISMS-doelstellingen.
4.5 CHECK: het ISMS monitoren en beoordelen
CHECK: Beoordelen en, voorzover van toepassing, meten van procesprestaties ten opzichte van het ISMS en de doelstellingen en ervaring uit de praktijk, en rapportage van de resultaten aan de directie ter beoordeling.
4.5.1 Het ISMS monitoren en beoordelen
De directie moet het ISMS monitoren en beoordelen.
Bij het monitoren en beoordelen van het ISMS beoogt men de blijvende optimale werking van de PDCA-cyclus te waarborgen. De procedures ter ondersteuning van het informatiebeveiliging blijven op deze wijze effectief en efficiënt verlopen of zullen daar verdere verbetering in aanbrengen.
De organisatie moet het volgende doen.
  • a) procedures voor controle en beoordeling en andere beheersmaatregelen uitvoeren om:
    • fouten in de verwerkingsresultaten snel te ontdekken;
    • al dan niet succesvolle inbreuken op de beveiliging en beveiligingsincidenten snel te identificeren;
    • de directie in staat stellen te bepalen of de beveiligingsactiviteiten die aan personeel zijn gedelegeerd of die in informatietechnologiesystemen zijn geïmplementeerd volgens verwachting presteren;
    • te helpen beveiligingsgebeurtenissen te ontdekken en zodoende beveiligingsincidenten te voorkomen door het gebruik van indicators; en
    • vast te stellen of de maatregelen die werden genomen om een beveiligingslek te dichten doeltreffend waren;
  • b) regelmatig de doeltreffendheid van het ISMS beoordelen (waaronder controle of wordt voldaan aan informatiebeveiligingsbeleid en of ISMS-doelstellingen worden gehaald, en waarbij beveiligingsmaatregelen worden beoordeeld) waarbij rekening wordt gehouden met de resultaten van beveiligingsaudits en beveiligingsincidenten, resultaten van metingen van de doeltreffendheid, suggesties en feedback van alle belanghebbenden;
  • c) de doeltreffendheid meten van beheersmaatregelen om te verifiëren of aan de beveiligingseisen is voldaan;
  • d) risicobeoordelingen met geplande tussenpozen beoordelen en de restrisico’s en geïdentificeerde aanvaardbare risiconiveaus beoordelen, waarbij rekening wordt gehouden met wijzigingen in de organisatie, de technologie, bedrijfsdoelstellingen en -processen, geïdentificeerde bedreigingen, doeltreffendheid van geïmplementeerde beheersmaatregelen, externe gebeurtenissen, zoals wijzigingen in relevante wet- of regelgeving, gewijzigde contractuele verplichtingen en wijzigingen in maatschappelijke omstandigheden;
  • e) interne ISMS-audits uitvoeren met geplande tussenpozen (zie 4.5.2);
  • f) regelmatig een directiebeoordeling van het ISMS uitvoeren, om te bewerkstelligen dat de reikwijdte ervan blijft voldoen en dat verbeteringen in het ISMS-proces worden geïdentificeerd (zie 4.5.3);
  • g) beveiligingsplannen bijwerken om rekening te houden met bevindingen van controle- en beoordelingsactiviteiten;
  • h) maatregelen en gebeurtenissen registreren die de doeltreffendheid of de prestaties van het ISMS zouden kunnen beïnvloeden (zie 4.7.3).
4.5.2 Interne ISMS-audits
De organisatie moet met geplande tussenpozen interne ISMS-audits uitvoeren om vast te stellen of de beheersdoelstellingen, beheersmaatregelen, processen en procedures van het ISMS:
  • a) voldoen aan de eisen van deze norm en relevante wetten of voorschriften;
  • b) voldoen aan de geïdentificeerde eisen voor informatiebeveiliging;
  • c) doeltreffend zijn geïmplementeerd en worden bijgehouden; en
  • d) naar verwachting presteren.
De organisatie moet het volgende doen:
  • een auditprogramma plannen, waarbij rekening wordt gehouden met de status en het belang van de processen en gebieden die een audit moeten ondergaan, evenals met de resultaten van vorige audits;
  • de auditcriteria, de reikwijdte, de frequentie en de methoden moeten worden gedefinieerd;
  • de keuze van de auditors en de manier waarop de audits worden uitgevoerd, moeten de objectiviteit en onpartijdigheid van het auditproces bewerkstelligen (auditors mogen geen audit uitvoeren over hun eigen werk);
  • de verantwoordelijkheden en eisen voor het plannen en uitvoeren van audits, en voor het rapporteren van resultaten en het bijhouden van registraties moeten worden gedefinieerd in een gedocumenteerde procedure;
  • leidinggevenden die verantwoordelijk zijn voor het gebied dat een audit ondergaat, moeten bewerkstelligen dat zonder onnodig uitstel maatregelen worden getroffen om ontdekte afwijkingen en hun oorzaken op te heffen;
  • vervolgactiviteiten moeten bestaan uit verificatie van de genomen maatregelen en de rapportage van verificatieresultaten.

OPMERKING 1 ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, kan nuttige richtlijnen bieden voor het uitvoeren van interne ISMS-audits.

OPMERKING 2 Voor meer informatie over interne audits, zie Bijlage C.

4.5.3 Directiebeoordeling van het ISMS
De directie moet het ISMS van de organisatie met geplande tussenpozen beoordelen (bijvoorbeeld eenmaal per jaar), om te bewerkstelligen dat dit continu geschikt, passend en doeltreffend is. Deze beoordeling moet het onderzoeken van kansen voor verbetering omvatten alsmede de noodzaak van wijzigingen in het ISMS, waaronder het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen.
De resultaten van de beoordelingen moeten duidelijk worden gedocumenteerd en er moeten registraties worden bijgehouden (zie 4.7.3).
De input voor de directiebeoordeling moet de volgende elementen omvatten:
  • a) resultaten van ISMS-audits en -beoordelingen;
  • b) feedback van belanghebbenden;
  • c) technieken, producten of procedures die in de organisatie zouden kunnen worden gebruikt om de prestaties en doeltreffendheid van het ISMS te verbeteren;
  • d) de status van preventieve en corrigerende maatregelen;
  • e) kwetsbaarheden of bedreigingen die in de vorige risicobeoordeling niet afdoende zijn behandeld;
  • f) resultaten van metingen van doeltreffendheid;
  • g) vervolgmaatregelen van vorige directiebeoordelingen;
  • h) eventuele wijzigingen die het ISMS kunnen beïnvloeden; en
  • i) aanbevelingen voor verbetering.
De directiebeoordeling moet leiden tot besluiten en maatregelen met betrekking tot de volgende aspecten:
  • a) verbetering van de doeltreffendheid van het ISMS;
  • b) bijwerken van het plan voor risicobeoordeling en risicobehandeling;
  • c) wijzigingen in procedures en beheersmaatregelen die van invloed zijn op informatiebeveiliging, voorzover noodzakelijk, om te reageren op interne of externe gebeurtenissen die het ISMS kunnen beïnvloeden waaronder wijzigingen in:
    • eisen van de bedrijfsvoering;
    • beveiligingseisen;
    • bedrijfsprocessen die van invloed zijn op bestaande bedrijfseisen;
    • eisen uit wet- of regelgeving;
    • contractuele verplichtingen;
    • risiconiveaus en/of criteria voor risicoaanvaarding;
  • d) behoefte aan middelen; en
  • e) verbetering in de manier waarop de doeltreffendheid van de beheersmaatregelen wordt gemeten.
4.6 ACT: het ISMS onderhouden en verbeteren
ACT: Corrigerende en preventieve maatregelen nemen, op basis van de resultaten van de interne ISMS-audit en de directiebeoordeling of andere relevante informatie, om continue verbetering van het ISMS te bewerkstelligen.
4.6.1 Algemeen
De directie moet het ISMS onderhouden en verbeteren.
De organisatie moet het volgende doen:
  • a) de geïdentificeerde verbeteringen in het ISMS implementeren;
  • b) geschikte corrigerende en preventieve maatregelen treffen volgens 4.6.3 en 4.6.4. De lessen uit de ervaringen met beveiliging in andere organisaties en de organisatie zelf in praktijk brengen;
  • c) de maatregelen en verbeteringen kenbaar maken aan alle belanghebbenden in een mate van detail die is afgestemd op de omstandigheden, en voorzover relevant, overeen te komen hoe verder te gaan;
  • d) bewerkstelligen dat de verbeteringen het beoogde doel bereiken.
4.6.2 Continue verbetering
De organisatie moet continu de doeltreffendheid van het ISMS verbeteren door gebruikmaking van het informatiebeveiligingsbeleid, de informatiebeveiligingsdoelstellingen, auditresultaten, analyse van gecontroleerde gebeurtenissen, corrigerende en preventieve maatregelen en de directiebeoordeling.
4.6.3 Corrigerende maatregelen
De organisatie moet maatregelen treffen om de oorzaak van afwijkingen van de ISMS-eisen op te heffen om herhaling te voorkomen.
In de gedocumenteerde procedure voor corrigerende maatregelen moeten eisen worden gedefinieerd voor het:
  • a) identificeren van afwijkingen;
  • b) vaststellen van de oorzaken van afwijkingen;
  • c) beoordelen van de noodzaak van maat­regelen om te bewerkstelligen dat afwijkingen zich niet opnieuw voordoen;
  • d) vaststellen welke corrigerende maatregelen nodig zijn en deze implementeren;
  • e) registreren van de resultaten van de getroffen maatregelen (zie 4.7.3); en
  • f) beoordelen van de getroffen corrigerende maatregelen.
4.6.4 Preventieve maatregelen
De organisatie moet maatregelen vaststellen om de oorzaak van mogelijke afwijkingen van de ISMS-eisen op te heffen om te voorkomen dat ze zich voordoen. Preventieve maatregelen moeten zijn afgestemd op de gevolgen van de mogelijke problemen.
In de gedocumenteerde procedure voor preventieve maatregelen moeten eisen worden gedefinieerd voor het:
  • a) identificeren van mogelijke afwijkingen en hun oorzaken;
  • b) beoordelen van de noodzaak om maatregelen om te voorkomen dat afwijkingen zich voordoen;
  • c) vaststellen en implementeren van de benodigde preventieve maatregelen;
  • d) registreren van de resultaten van de getroffen maatregelen; en
  • e) beoordelen van de getroffen preventieve maatregelen.
    • de organisatie moet gewijzigde risico’s identificeren en eisen voor preventieve maatregelen vaststellen die zijn gericht op significant gewijzigde risico's;
    • de prioriteit van preventieve maatregelen moet worden vastgesteld op basis van de resultaten van de risicobeoordeling.
Het plan voor verbetering van beveiliging zoals in 4.4 beschreven, is eveneens een belangrijk instrument voor het aantonen van voortgang en verbetering van processen.
4.7 Documentatie van het ISMS
4.7.1 Algemeen
De documentatie moet registraties van directiebesluiten omvatten, bewerkstelli­gen dat maatregelen herleidbaar zijn tot besluiten en beleid van de directie en bewerkstelligen dat de geregistreerde resultaten reproduceerbaar zijn.
Het is belangrijk dat de relatie kan worden getoond tussen de gekozen beheersmaatregelen en de resultaten van het proces van risicobeoordeling en risicobehandeling, en weer terug naar het ISMS-beleid en de ISMS-doelstellingen.
De ISMS-documentatie moet het volgende omvatten:
  • a) gedocumenteerde verklaringen van het ISMS-beleid (zie 4.3b) en de ISMS-doelstellingen;
  • b) de reikwijdte van het ISMS (zie 4.3a);
  • c) procedures en beheersmaatregelen die het ISMS ondersteunen;
  • d) een beschrijving van de methode voor risicobeoordeling (zie 4.3c);
  • e) het rapport van de risicobeoordeling (zie 4.3c) t.m. 4.3f);
  • f) het plan voor risicobehandeling (zie 4.4.1b);
  • g) gedocumenteerde procedures die de organisatie nodig heeft om doeltreffende planning, uitvoering en beheersing van de processen voor informatiebeveiliging te bewerkstelligen, en te beschrijven hoe de doeltreffendheid van de beheersmaatregelen moet worden gemeten (zie 4.5.1c);
  • h) registraties vereist door deze norm (zie 4.7.3); en
  • i) de verklaring van toepasselijkheid.
Aangezien de gezondheidszorg een sector is met significante nalevingsverplichtingen (zowel wettelijk als beroepsmatig) en verantwoordelijkheden met betrekking tot risicomanagement, behoort een output waarin onderling samenhangende risicobeoordelingen, uitgevoerd door verschillende disciplines of functionele groepen, worden samengebracht te worden overwogen als hulpmiddel voor besturing van de informatievoorziening en ook om de integriteit van afzonderlijke risicobeoordelingen te bewerkstelligen.

OPMERKING 1 Waar in deze norm de term ‘gedocumenteerde procedure’ wordt gebruikt, betekent dit dat de procedure is opgezet, gedocumenteerd en geïmplementeerd en wordt bijgehouden.

OPMERKING 2 De reikwijdte van de ISMS-documentatie kan per organisatie verschillen afhankelijk van de omvang van de organisatie en het type activiteiten en de reikwijdte en complexiteit van de beveiligingseisen en het beheerde systeem.

OPMERKING 3 Documenten en registraties kunnen in elke vorm en op elk soort medium zijn vastgelegd.

4.7.2 Beheersing van documenten
Documenten die door het ISMS worden vereist, moeten worden beschermd en beheerst.
Er moet een gedocumenteerde procedure worden vastgesteld om te definiëren welke handelingen van de directie nodig zijn om:
  • a) documenten goed te keuren op geschiktheid alvorens ze worden uitgegeven;
  • b) documenten te beoordelen en indien nodig bij te werken, en ze opnieuw goed te keuren;
  • c) te bewerkstelligen dat wijzigingen en de actuele revisiestatus van de documenten zijn geïdentificeerd;
  • d) te bewerkstelligen dat voor van toepassing zijnde documenten relevante versies beschikbaar zijn op werkplekken;
  • e) te bewerkstelligen dat documenten leesbaar en gemakkelijk identificeerbaar blijven;
  • f) te bewerkstelligen dat documenten beschikbaar zijn voor degenen die ze nodig hebben, en worden overgedragen, opgeslagen en uiteindelijk verwijderd volgens de procedures die van toepassing zijn op hun classificatie;
  • g) te bewerkstelligen dat documenten van externe oorsprong worden geïdentificeerd;
  • h) te bewerkstelligen dat de verspreiding van documenten wordt beheerst;
  • i) onbedoeld gebruik van verouderde documenten te voorkomen; en
  • j) geschikte identificatie op de documenten aan te brengen indien ze voor welk doel dan ook moeten worden bewaard.
4.7.3 Beheersing van registraties
Er moeten registraties worden vastgesteld en bijgehouden om te kunnen bewijzen dat de eisen van het ISMS worden nageleefd en dat het ISMS doeltreffend wordt uitgevoerd. Deze registraties moeten worden beschermd en beheerst.
Aandachtspunten daarbij zijn:
  • in het ISMS moet rekening worden gehouden met eventuele relevante eisen uit wet- of regelgeving en contractuele verplichtingen;
  • registraties moeten leesbaar, gemakkelijk identificeerbaar en opvraagbaar blijven ;
  • de vereiste beheersmaatregelen voor identificatie, opslag, bescherming, opvraging, bewaartijd en verwijdering van registraties moeten zijn gedocumenteerd en geïmplementeerd;
  • er moeten registraties worden bijgehouden van de prestaties van het proces zoals aangegeven in 4.2 en van alle significante beveiligingsincidenten die betrekking hebben op het ISMS.

VOORBEELD

Voorbeelden van registraties zijn een gastenboek, auditregistraties en ingevulde formulieren voor toekenning van toegangsbevoegdheden.