NEN 7510-1:2017+A1:2020
NL
EN
Terug naar home
NEN 7510-1:2017+A1:2020
Medische informatica - Informatiebeveiliging in de zorg - Deel 1: Managementsysteem
2017
Verberg hoofdstructuurtekst (HLS)
Toon HLS
Verberg alle toelichting
Toon alle toelichting
Inhoud
Voorwoord
0
Inleiding
0.1
Doelstellingen
0.2
Relatie tot informatiegovernance 3), corporate governance en klinische governance
0.3
Gezondheidsinformatie
0.4
Bedreigingen voor en kwetsbaarheden in de beveiliging van gezondheidsinformatie
0.5
Doelgroep van NEN 7510-1+A1 en NEN 7510-2
0.6
Structuur en aard van NEN 7510
0.6.1
Deel 1: het managementsysteem voor informatiebeveiliging
0.6.2
Deel 2: de maatregelen voor informatiebeveiliging
0.7
De toegevoegde waarde van NEN 7510-1+A1 en NEN 7510-2
0.8
Relatie met Nederlandse wet- en regelgeving
0.9
Relatie met NEN 7512 en NEN 7513
1
Onderwerp en toepassingsgebied
1.1
Algemeen
1.2
Uitsluitingen van het onderwerp en toepassingsgebied
2
Normatieve verwijzing en
3
Termen en definities
3.1
anonimisatie
3.2
audit
3.3
authenticatie
3.4
authenticiteit
3.5
autorisatie
3.6
bedreiging
3.7
bedrijfsmiddel
3.8
beheersmaatregel
3.9
beleid
3.10
beoordeling
3.11
beschikbaarheid
3.12
besturingssysteem
3.13
betrouwbaarheid
3.14
cliënt
3.15
cliëntgegevens
3.16
derde partij
3.17
dienstverband
3.18
directie
3.19
gebeurtenis
3.20
governance
3.21
governance van IT
3.22
identificatie
3.23
identificeerbare persoon
3.24
informatiebeveiliging
3.25
informatiebeveiligingsgebeurtenis
3.26
informatiebeveiligingsincident
3.27
informatiebeveiligingsmanagementforum
3.28
informatiesysteem
3.29
informatievoorziening
3.30
integriteit
3.31
klant
3.32
kwetsbaarheid
3.33
loggen
3.34
logging
3.35
managementsysteem
3.36
managementsysteem voor informatiebeveiliging
3.37
medische apparatuur
3.38
mobile code
3.39
onweerlegbaarheid
3.40
organisatie
3.41
organisatorische governance
3.42
patiënt
3.43
patiëntdossier
3.44
persoonlijke gezondheidsinformatie
3.45
pseudonimisering
3.46
restrisico
3.47
richtlijn
3.48
risico
3.49
risicoaanvaarding
3.50
risicoanalyse
3.51
risicobehandeling
3.52
risicobeoordeling
3.53
risicobron
3.54
risico-eigenaar
3.55
risicomanagement
3.56
risiconiveau
3.57
solistisch werkende zorgverlener
3.58
toegangsbeveiliging
3.59
uitbesteden
3.60
verantwoordelijke
3.61
verificatie
3.62
verklaring van toepasselijkheid
3.63
vertrouwelijkheid
3.64
verwerking
3.65
waarschijnlijkheid
3.66
zorg
3.67
zorginformatiesysteem
3.68
zorginstelling
3.69
zorgproces
3.70
zorgverlener
4
Context van de organisatie
4.1
Inzicht in de organisatie en haar context
4.2
[A1>Inzicht in<A1] de behoeften en verwachtingen van belanghebbenden
4.3
Het toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen
4.4
Managementsysteem voor informatiebeveiliging
5
Leiderschap
5.1
Leiderschap en betrokkenheid
5.2
Beleid
5.3
Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
6
Planning
6.1
[A1>Acties om risico’s en kansen op te pakken<A1]
6.1.1
Algemeen
6.1.2
Risicobeoordeling van informatiebeveiliging
6.1.3
Behandeling van informatiebeveiligingsrisico’s
6.2
Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
7
Ondersteuning
7.1
Middelen
7.2
Competentie
7.3
Bewustzijn
7.4
Communicatie
7.5
Gedocumenteerde informatie
7.5.1
Algemeen
7.5.2
Creëren en actualiseren
7.5.3
[A1>Beheersing<A1] van gedocumenteerde informatie
8
Uitvoering
8.1
Operationele planning en beheersing
8.2
Risicobeoordeling van informatiebeveiliging
8.3
Informatiebeveiligingsrisico’s behandelen
9
Evaluatie van de prestaties
9.1
Monitoren, meten, analyseren en evalueren
9.2
Interne audit
9.3
Directiebeoordeling
10
Verbetering
10.1
Afwijkingen en corrigerende maatregelen
10.2
Continue verbetering
Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen
A.5
Informatiebeveiligingsbeleid
A.5.1
Aansturing door de directie van de informatiebeveiliging
A.5.1.1
Beleidsregels voor informatiebeveiliging
A.5.1.2
Beoordeling van het informatiebeveiligingsbeleid
A.6
Organiseren van informatiebeveiliging
A.6.1
Interne organisatie
A.6.1.1
Rollen en verantwoordelijkheden bij informatiebeveiliging
A.6.1.2
Scheiding van taken
A.6.1.3
Contact met overheidsinstanties
A.6.1.4
Contact met speciale belangengroepen
A.6.1.5
Informatiebeveiliging in projectbeheer
A.6.2
Mobiele apparatuur en telewerken
A.6.2.1
Beleid voor mobiele apparatuur
A.6.2.2
Telewerken
A.7
Veilig personeel
A.7.1
Voorafgaand aan het dienstverband
A.7.1.1
Screening
A.7.1.2
Arbeidsvoorwaarden
A.7.2
Tijdens het dienstverband
A.7.2.1
Directieverantwoordelijkheden
A.7.2.2
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
A.7.2.3
Disciplinaire procedure
A.7.3
Beëindiging en wijziging van dienstverband
A.7.3.1
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
A.8
Beheer van bedrijfsmiddelen
A.8.1
Verantwoordelijkheid voor bedrijfsmiddelen
A.8.1.1
Inventariseren van bedrijfsmiddelen
A.8.1.2
Eigendom van bedrijfsmiddelen
A.8.1.3
Aanvaardbaar gebruik van bedrijfsmiddelen
A.8.1.4
Teruggeven van bedrijfsmiddelen
A.8.2
Informatieclassificatie
A.8.2.1
Classificatie van informatie
A.8.2.2
Informatie labelen
A.8.2.3
Behandelen van bedrijfsmiddelen
A.8.3
Behandelen van media
A.8.3.1
Beheer van verwijderbare media
A.8.3.2
Verwijderen van media
A.8.3.3
Media fysiek overdragen
A.9
Toegangsbeveiliging
A.9.1
Bedrijfseisen voor toegangsbeveiliging
A.9.1.1
Beleid voor toegangsbeveiliging
A.9.1.2
Toegang tot netwerken en netwerkdiensten
A.9.2
Beheer van toegangsrechten van gebruikers
A.9.2.1
Registratie en afmelden van gebruikers
A.9.2.2
Gebruikers toegang verlenen
A.9.2.3
Beheren van speciale toegangsrechten
A.9.2.4
Beheer van geheime authenticatie-informatie van gebruikers
A.9.2.5
Beoordeling van toegangsrechten van gebruikers
A.9.2.6
Toegangsrechten intrekken of aanpassen
A.9.3
Verantwoordelijkheden van gebruikers
A.9.3.1
Geheime authenticatie-informatie gebruiken
A.9.4
Toegangsbeveiliging van systeem en toepassing
A.9.4.1
Beperking toegang tot informatie
A.9.4.2
Beveiligde inlogprocedures
A.9.4.3
Systeem voor wachtwoordbeheer
A.9.4.4
Speciale systeemhulpmiddelen gebruiken
A.9.4.5
Toegangsbeveiliging op programmabroncode
A.10
Cryptografie
A.10.1
Cryptografische beheersmaatregelen
A.10.1.1
Beleid inzake het gebruik van cryptografische beheersmaatregelen
A.10.1.2
Sleutelbeheer
A.11
Fysieke beveiliging en beveiliging van de omgeving
A.11.1
Beveiligde gebieden
A.11.1.1
Fysieke beveiligingszone
A.11.1.2
Fysieke toegangsbeveiliging
A.11.1.3
Kantoren, ruimten en faciliteiten beveiligen
A.11.1.4
Beschermen tegen bedreigingen van buitenaf
A.11.1.5
Werken in beveiligde gebieden
A.11.1.6
Laad- en loslocatie
A.11.2
Apparatuur
A.11.2.1
Plaatsing en bescherming van apparatuur
A.11.2.2
Nutsvoorzieningen
A.11.2.3
Beveiliging van bekabeling
A.11.2.4
Onderhoud van apparatuur
A.11.2.5
Verwijdering van bedrijfsmiddelen
A.11.2.6
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
A.11.2.7
Veilig verwijderen of hergebruiken van apparatuur
A.11.2.8
Onbeheerde gebruikersapparatuur
A.11.2.9
‘Clear desk’- en ‘clear screen’-beleid
A.12
Beveiliging bedrijfsvoering
A.12.1
Bedieningsprocedures en verantwoordelijkheden
A.12.1.1
Gedocumenteerde bedieningsprocedures
A.12.1.2
Wijzigingsbeheer
A.12.1.3
Capaciteitsbeheer
A.12.1.4
Scheiding van ontwikkel-, test- en productieomgevingen
A.12.2
Bescherming tegen malware
A.12.2.1
Beheersmaatregelen tegen malware
A.12.3
Back-up
A.12.3.1
Back-up van informatie
A.12.4
Verslaglegging en monitoren
A.12.4.1
Gebeurtenissen registreren
A.12.4.2
Beschermen van informatie in logbestanden
A.12.4.3
Logbestanden van beheerders en operators
A.12.4.4
Kloksynchronisatie
A.12.5
Beheersing van operationele software
A.12.5.1
Software installeren op operationele systemen
A.12.6
Beheer van technische kwetsbaarheden
A.12.6.1
Beheer van technische kwetsbaarheden
A.12.6.2
Beperkingen voor het installeren van software
A.12.7
Overwegingen betreffende audits van informatiesystemen
A.12.7.1
Beheersmaatregelen betreffende audits van informatiesystemen
A.13
Communicatiebeveiliging
A.13.1
Beheer van netwerkbeveiliging
A.13.1.1
Beheersmaatregelen voor netwerken
A.13.1.2
Beveiliging van netwerkdiensten
A.13.1.3
Scheiding in netwerken
A.13.2
Informatietransport
A.13.2.1
Beleid en procedures voor informatietransport
A.13.2.2
Overeenkomsten over informatietransport
A.13.2.3
Elektronische berichten
A.13.2.4
Vertrouwelijkheids- of geheimhoudingsovereenkomst
A.14
Acquisitie, ontwikkeling en onderhoud van informatiesystemen
A.14.1
Beveiligingseisen voor informatiesystemen
A.14.1.1
Analyse en specificatie van informatiebeveiligingseisen
A.14.1.1.1
Zorgontvangers op unieke wijze identificeren
A.14.1.1.2
Validatie van outputgegevens
A.14.1.2
Toepassingen op openbare netwerken beveiligen
A.14.1.3
Transacties van toepassingen beschermen
A.14.1.3.1
Openbaar beschikbare gezondheidsinformatie
A.14.2
Beveiliging in ontwikkelings- en ondersteunende processen
A.14.2.1
Beleid voor beveiligd ontwikkelen
A.14.2.2
Procedures voor wijzigingsbeheer met betrekking tot systemen
A.14.2.3
Technische beoordeling van toepassingen na wijzigingen besturingsplatform
A.14.2.4
Beperkingen op wijzigingen aan softwarepakketten
A.14.2.5
Principes voor engineering van beveiligde systemen
A.14.2.6
Beveiligde ontwikkelomgeving
A.14.2.7
Uitbestede softwareontwikkeling
A.14.2.8
Testen van systeembeveiliging
A.14.2.9
Systeemacceptatietests
A.14.3
Testgegevens
A.14.3.1
Bescherming van testgegevens
A.15
Leveranciersrelaties
A.15.1
Informatiebeveiliging in leveranciersrelaties
A.15.1.1
Informatiebeveiligingsbeleid voor leveranciersrelaties
A.15.1.2
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
A.15.1.3
Toeleveringsketen van informatie- en communicatietechnologie
A.15.2
Beheer van dienstverlening van leveranciers
A.15.2.1
Monitoring en beoordeling van dienstverlening van leveranciers
A.15.2.2
Beheer van veranderingen in dienstverlening van leveranciers
A.16
Beheer van informatiebeveiligingsincidenten
A.16.1
Beheer van informatiebeveiligingsincidenten en -verbeteringen
A.16.1.1
Verantwoordelijkheden en procedures
A.16.1.2
Rapportage van informatiebeveiligingsgebeurtenissen
A.16.1.3
Rapportage van zwakke plekken in de informatiebeveiliging
A.16.1.4
Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
A.16.1.5
Respons op informatiebeveiligingsincidenten
A.16.1.6
Lering uit informatiebeveiligingsincidenten
A.16.1.7
Verzamelen van bewijsmateriaal
A.17
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
A.17.1
Informatiebeveiligingscontinuïteit
A.17.1.1
Informatiebeveiligingscontinuïteit plannen
A.17.1.2
Informatiebeveiligingscontinuïteit implementeren
A.17.1.3
Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
A.17.2
Redundante componenten
A.17.2.1
Beschikbaarheid van informatieverwerkende faciliteiten
A.18
Naleving
A.18.1
Naleving van wettelijke en contractuele eisen
A.18.1.1
Vaststellen van toepasselijke wetgeving en contractuele eisen
A.18.1.2
Intellectuele-eigendomsrechten
A.18.1.3
Beschermen van registraties
A.18.1.4
Privacy en bescherming van persoonsgegevens
A.18.1.5
Voorschriften voor het gebruik van cryptografische beheersmaatregelen
A.18.2
Informatiebeveiligingsbeoordelingen
A.18.2.1
Onafhankelijke beoordeling van informatiebeveiliging
A.18.2.2
Naleving van beveiligingsbeleid en ‑normen
A.18.2.3
Beoordeling van technische naleving
Bijlage B (informatief) Vergelijking van NEN 7510-1+A1:2020 en NEN 7510-2:2017 met NEN 7510:2011
Tabel B.1 — Vergelijking tussen NEN 7510-1+A1:2020 en NEN 7510:2011
Bibliografie
2
Normatieve verwijzing
en
In dit document wordt niet normatief naar andere documenten verwezen.
Toon toelichting