NEN 7510-1:2017+A1:2020

Inhoud

• Voorwoord
• 0 Inleiding
• 0.1 Doelstellingen
• 0.2 Relatie tot informatiegovernance 3), corporate governance en klinische governance
• 0.3 Gezondheidsinformatie
• 0.4 Bedreigingen voor en kwetsbaarheden in de beveiliging van gezondheidsinformatie
• 0.5 Doelgroep van NEN 7510-1+A1 en NEN 7510-2
• 0.6 Structuur en aard van NEN 7510
• 0.6.1 Deel 1: het managementsysteem voor informatiebeveiliging
• 0.6.2 Deel 2: de maatregelen voor informatiebeveiliging
• 0.7 De toegevoegde waarde van NEN 7510-1+A1 en NEN 7510-2
• 0.8 Relatie met Nederlandse wet- en regelgeving
• 0.9 Relatie met NEN 7512 en NEN 7513
• 1 Onderwerp en toepassingsgebied
• 1.1 Algemeen
• 1.2 Uitsluitingen van het onderwerp en toepassingsgebied
• 2 Normatieve verwijzing en
• 3 Termen en definities
• 3.1 anonimisatie
• 3.2 audit
• 3.3 authenticatie
• 3.4 authenticiteit
• 3.5 autorisatie
• 3.6 bedreiging
• 3.7 bedrijfsmiddel
• 3.8 beheersmaatregel
• 3.9 beleid
• 3.10 beoordeling
• 3.11 beschikbaarheid
• 3.12 besturingssysteem
• 3.13 betrouwbaarheid
• 3.14 cliënt
• 3.15 cliëntgegevens
• 3.16 derde partij
• 3.17 dienstverband
• 3.18 directie
• 3.19 gebeurtenis
• 3.20 governance
• 3.21 governance van IT
• 3.22 identificatie
• 3.23 identificeerbare persoon
• 3.24 informatiebeveiliging
• 3.25 informatiebeveiligingsgebeurtenis
• 3.26 informatiebeveiligingsincident
• 3.27 informatiebeveiligingsmanagementforum
• 3.28 informatiesysteem
• 3.29 informatievoorziening
• 3.30 integriteit
• 3.31 klant
• 3.32 kwetsbaarheid
• 3.33 loggen
• 3.34 logging
• 3.35 managementsysteem
• 3.36 managementsysteem voor informatiebeveiliging
• 3.37 medische apparatuur
• 3.38 mobile code
• 3.39 onweerlegbaarheid
• 3.40 organisatie
• 3.41 organisatorische governance
• 3.42 patiënt
• 3.43 patiëntdossier
• 3.44 persoonlijke gezondheidsinformatie
• 3.45 pseudonimisering
• 3.46 restrisico
• 3.47 richtlijn
• 3.48 risico
• 3.49 risicoaanvaarding
• 3.50 risicoanalyse
• 3.51 risicobehandeling
• 3.52 risicobeoordeling
• 3.53 risicobron
• 3.54 risico-eigenaar
• 3.55 risicomanagement
• 3.56 risiconiveau
• 3.57 solistisch werkende zorgverlener
• 3.58 toegangsbeveiliging
• 3.59 uitbesteden
• 3.60 verantwoordelijke
• 3.61 verificatie
• 3.62 verklaring van toepasselijkheid
• 3.63 vertrouwelijkheid
• 3.64 verwerking
• 3.65 waarschijnlijkheid
• 3.66 zorg
• 3.67 zorginformatiesysteem
• 3.68 zorginstelling
• 3.69 zorgproces
• 3.70 zorgverlener
• 4 Context van de organisatie
• 4.1 Inzicht in de organisatie en haar context
• 4.2 [A1>Inzicht in<A1] de behoeften en verwachtingen van belanghebbenden
• 4.3 Het toepassingsgebied van het managementsysteem  voor informatiebeveiliging vaststellen
• 4.4 Managementsysteem  voor informatiebeveiliging
• 5 Leiderschap
• 5.1 Leiderschap en betrokkenheid
• 5.2 Beleid
• 5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
• 6 Planning
• 6.1 [A1>Acties om risico’s en kansen op te pakken<A1]
• 6.1.1 Algemeen
• 6.1.2 Risicobeoordeling van informatiebeveiliging
• 6.1.3 Behandeling van informatiebeveiligingsrisico’s
• 6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
• 7 Ondersteuning
• 7.1 Middelen
• 7.2 Competentie
• 7.3 Bewustzijn
• 7.4 Communicatie
• 7.5 Gedocumenteerde informatie
• 7.5.1 Algemeen
• 7.5.2 Creëren en actualiseren
• 7.5.3 [A1>Beheersing<A1] van gedocumenteerde informatie
• 8 Uitvoering
• 8.1 Operationele planning en beheersing
• 8.2 Risicobeoordeling van informatiebeveiliging
• 8.3 Informatiebeveiligingsrisico’s behandelen
• 9 Evaluatie van de prestaties
• 9.1 Monitoren, meten, analyseren en evalueren
• 9.2 Interne audit
• 9.3 Directiebeoordeling
• 10 Verbetering
• 10.1 Afwijkingen en corrigerende maatregelen
• 10.2 Continue verbetering
• Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen
• A.5 Informatiebeveiligingsbeleid
• A.5.1 Aansturing door de directie van de informatiebeveiliging
• A.5.1.1 Beleidsregels voor informatiebeveiliging
• A.5.1.2 Beoordeling van het informatiebeveiligingsbeleid
• A.6 Organiseren van informatiebeveiliging
• A.6.1 Interne organisatie
• A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging
• A.6.1.2 Scheiding van taken
• A.6.1.3 Contact met overheidsinstanties
• A.6.1.4 Contact met speciale belangengroepen
• A.6.1.5 Informatiebeveiliging in projectbeheer
• A.6.2 Mobiele apparatuur en telewerken
• A.6.2.1 Beleid voor mobiele apparatuur
• A.6.2.2 Telewerken
• A.7 Veilig personeel
• A.7.1 Voorafgaand aan het dienstverband
• A.7.1.1 Screening
• A.7.1.2 Arbeidsvoorwaarden
• A.7.2 Tijdens het dienstverband
• A.7.2.1 Directieverantwoordelijkheden
• A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
• A.7.2.3 Disciplinaire procedure
• A.7.3 Beëindiging en wijziging van dienstverband
• A.7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
• A.8 Beheer van bedrijfsmiddelen
• A.8.1 Verantwoordelijkheid voor bedrijfsmiddelen
• A.8.1.1 Inventariseren van bedrijfsmiddelen
• A.8.1.2 Eigendom van bedrijfsmiddelen
• A.8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen
• A.8.1.4 Teruggeven van bedrijfsmiddelen
• A.8.2 Informatieclassificatie
• A.8.2.1 Classificatie van informatie
• A.8.2.2 Informatie labelen
• A.8.2.3 Behandelen van bedrijfsmiddelen
• A.8.3 Behandelen van media
• A.8.3.1 Beheer van verwijderbare media
• A.8.3.2 Verwijderen van media
• A.8.3.3 Media fysiek overdragen
• A.9 Toegangsbeveiliging
• A.9.1 Bedrijfseisen voor toegangsbeveiliging
• A.9.1.1 Beleid voor toegangsbeveiliging
• A.9.1.2 Toegang tot netwerken en netwerkdiensten
• A.9.2 Beheer van toegangsrechten van gebruikers
• A.9.2.1 Registratie en afmelden van gebruikers
• A.9.2.2 Gebruikers toegang verlenen
• A.9.2.3 Beheren van speciale toegangsrechten
• A.9.2.4 Beheer van geheime authenticatie-informatie van gebruikers
• A.9.2.5 Beoordeling van toegangsrechten van gebruikers
• A.9.2.6 Toegangsrechten intrekken of aanpassen
• A.9.3 Verantwoordelijkheden van gebruikers
• A.9.3.1 Geheime authenticatie-informatie gebruiken
• A.9.4 Toegangsbeveiliging van systeem en toepassing
• A.9.4.1 Beperking toegang tot informatie
• A.9.4.2 Beveiligde inlogprocedures
• A.9.4.3 Systeem voor wachtwoordbeheer
• A.9.4.4 Speciale systeemhulpmiddelen gebruiken
• A.9.4.5 Toegangsbeveiliging op programmabroncode
• A.10 Cryptografie
• A.10.1 Cryptografische beheersmaatregelen
• A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
• A.10.1.2 Sleutelbeheer
• A.11 Fysieke beveiliging en beveiliging van de omgeving
• A.11.1 Beveiligde gebieden
• A.11.1.1 Fysieke beveiligingszone
• A.11.1.2 Fysieke toegangsbeveiliging
• A.11.1.3 Kantoren, ruimten en faciliteiten beveiligen
• A.11.1.4 Beschermen tegen bedreigingen van buitenaf
• A.11.1.5 Werken in beveiligde gebieden
• A.11.1.6 Laad- en loslocatie
• A.11.2 Apparatuur
• A.11.2.1 Plaatsing en bescherming van apparatuur
• A.11.2.2 Nutsvoorzieningen
• A.11.2.3 Beveiliging van bekabeling
• A.11.2.4 Onderhoud van apparatuur
• A.11.2.5 Verwijdering van bedrijfsmiddelen
• A.11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
• A.11.2.7 Veilig verwijderen of hergebruiken van apparatuur
• A.11.2.8 Onbeheerde gebruikersapparatuur
• A.11.2.9 ‘Clear desk’- en ‘clear screen’-beleid
• A.12 Beveiliging bedrijfsvoering
• A.12.1 Bedieningsprocedures en verantwoordelijkheden
• A.12.1.1 Gedocumenteerde bedieningsprocedures
• A.12.1.2 Wijzigingsbeheer
• A.12.1.3 Capaciteitsbeheer
• A.12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen
• A.12.2 Bescherming tegen malware
• A.12.2.1 Beheersmaatregelen tegen malware
• A.12.3 Back-up
• A.12.3.1 Back-up van informatie
• A.12.4 Verslaglegging en monitoren
• A.12.4.1 Gebeurtenissen registreren
• A.12.4.2 Beschermen van informatie in logbestanden
• A.12.4.3 Logbestanden van beheerders en operators
• A.12.4.4 Kloksynchronisatie
• A.12.5 Beheersing van operationele software
• A.12.5.1 Software installeren op operationele systemen
• A.12.6 Beheer van technische kwetsbaarheden
• A.12.6.1 Beheer van technische kwetsbaarheden
• A.12.6.2 Beperkingen voor het installeren van software
• A.12.7 Overwegingen betreffende audits van informatiesystemen
• A.12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen
• A.13 Communicatiebeveiliging
• A.13.1 Beheer van netwerkbeveiliging
• A.13.1.1 Beheersmaatregelen voor netwerken
• A.13.1.2 Beveiliging van netwerkdiensten
• A.13.1.3 Scheiding in netwerken
• A.13.2 Informatietransport
• A.13.2.1 Beleid en procedures voor informatietransport
• A.13.2.2 Overeenkomsten over informatietransport
• A.13.2.3 Elektronische berichten
• A.13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst
• A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
• A.14.1 Beveiligingseisen voor informatiesystemen
• A.14.1.1 Analyse en specificatie van informatiebeveiligingseisen
• A.14.1.1.1 Zorgontvangers op unieke wijze identificeren
• A.14.1.1.2 Validatie van outputgegevens
• A.14.1.2 Toepassingen op openbare netwerken beveiligen
• A.14.1.3 Transacties van toepassingen beschermen
• A.14.1.3.1 Openbaar beschikbare gezondheidsinformatie
• A.14.2 Beveiliging in ontwikkelings- en ondersteunende processen
• A.14.2.1 Beleid voor beveiligd ontwikkelen
• A.14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen
• A.14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform
• A.14.2.4 Beperkingen op wijzigingen aan softwarepakketten
• A.14.2.5 Principes voor engineering van beveiligde systemen
• A.14.2.6 Beveiligde ontwikkelomgeving
• A.14.2.7 Uitbestede softwareontwikkeling
• A.14.2.8 Testen van systeembeveiliging
• A.14.2.9 Systeemacceptatietests
• A.14.3 Testgegevens
• A.14.3.1 Bescherming van testgegevens
• A.15 Leveranciersrelaties
• A.15.1 Informatiebeveiliging in leveranciersrelaties
• A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties
• A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
• A.15.1.3 Toeleveringsketen van informatie- en communicatietechnologie
• A.15.2 Beheer van dienstverlening van leveranciers
• A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers
• A.15.2.2 Beheer van veranderingen in dienstverlening van leveranciers
• A.16 Beheer van informatiebeveiligingsincidenten
• A.16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
• A.16.1.1 Verantwoordelijkheden en procedures
• A.16.1.2 Rapportage van informatie­beveiligings­gebeurtenissen
• A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging
• A.16.1.4 Beoordeling van en besluitvorming over informatie­beveiligings­gebeurtenissen
• A.16.1.5 Respons op informatie­beveiligingsincidenten
• A.16.1.6 Lering uit informatie­beveiligingsincidenten
• A.16.1.7 Verzamelen van bewijsmateriaal
• A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
• A.17.1 Informatiebeveiligingscontinuïteit
• A.17.1.1 Informatiebeveiligings­continuïteit plannen
• A.17.1.2 Informatiebeveiligings­continuïteit implementeren
• A.17.1.3 Informatiebeveiligings­continuïteit verifiëren, beoordelen en evalueren
• A.17.2 Redundante componenten
• A.17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten
• A.18 Naleving
• A.18.1 Naleving van wettelijke en contractuele eisen
• A.18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen
• A.18.1.2 Intellectuele-eigendomsrechten
• A.18.1.3 Beschermen van registraties
• A.18.1.4 Privacy en bescherming van persoonsgegevens
• A.18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
• A.18.2 Informatiebeveiligingsbeoordelingen
• A.18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
• A.18.2.2 Naleving van beveiligingsbeleid en ‑normen
• A.18.2.3 Beoordeling van technische naleving
• Bijlage B (informatief) Vergelijking van NEN 7510-1+A1:2020 en NEN 7510-2:2017 met NEN 7510:2011
• Tabel B.1 — Vergelijking tussen NEN 7510-1+A1:2020 en NEN 7510:2011
• Bibliografie