NEN 7510-2 Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 2017

Verberg hoofdstructuurtekst (HLS) Toon HLS Verberg alle toelichting Toon alle toelichting

Doelstelling: Informatiebeveiligingscontinuïteit behoort te worden ingebed in de systemen van het bedrijfscontinuïteitsbeheer van de organisatie.


Beheersmaatregel

De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te stellen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Een organisatie behoort vast te stellen of de continuïteit van de informatiebeveiliging onder het beheerproces van de bedrijfscontinuïteit valt of onder het beheerproces van rampenherstel. Informatiebeveiligingseisen behoren te worden vastgesteld als de planning voor bedrijfscontinuïteit en rampenherstel wordt gemaakt.

Bij afwezigheid van een formele planning voor bedrijfscontinuïteit en rampenherstel behoort het informatiebeveiligingsbeheer ervan uit te gaan dat informatiebeveiligingseisen in ongunstige situaties hetzelfde blijven als in normale uitvoeringsomstandigheden. In het andere geval kan een organisatie een bedrijfsimpactanalyse uitvoeren voor informatiebeveiligingsaspecten om de informatiebeveiligingseisen vast te stellen die van toepassing zijn op ongunstige situaties.

Zorgspecifieke implementatierichtlijn

De volgende overwegingen zijn belangrijk in zorgomgevingen. Bedrijfscontinuïteitsmanagement, dat rampenherstel omvat, wordt steeds meer erkend als een vereiste voor gezondheidsorganisaties en er wordt een steeds hogere prioriteit aan toegekend. Met het oog op de strenge beschikbaarheidseisen in de zorg zou er veel moeten worden geïnvesteerd in regelingen voor veerkracht en redundantie, niet alleen met betrekking tot de technologie op zich, maar ook met betrekking tot de bredere opleiding van medewerkers in de zorg.

Bedrijfscontinuïteitsplanning in de zorg is met name een uitdaging voor de informatiebeveiligingsprofessional, aangezien alle plannen op geschikte wijze behoren te worden geïntegreerd in de plannen van de organisatie voor het omgaan met stroomuitval, het implementeren van beheersing van infecties en het omgaan met andere klinische noodsituaties. Als er een beroep wordt gedaan op een van deze plannen, zal dit waarschijnlijk ook rechtstreeks leiden tot een beroep op het bedrijfscontinuïteitsmanagementplan, zij het alleen maar om extra ondersteuning te bieden naast de ondersteuning die normaal gesproken beschikbaar is. Recente incidenten, zoals de uitbraak van SARS, hebben echter aangetoond dat grote incidenten tot een personeelstekort kunnen leiden dat vervolgens het vermogen om plannen voor bedrijfscontinuïteitsmanagement op geslaagde wijze uit te voeren ernstig kan beperken.

Zorginstellingen behoren te garanderen dat hun bedrijfscontinuïteitsmanagementplanning de planning van zorgcrisismanagement omvat. Levens van cliënten kunnen afhangen van de toegang tot cliëntgegevens en het is essentieel dat hiermee tijdens de planning rekening wordt gehouden. Catastrofes en crises waarbij er sprake is van overmacht waardoor IT-systemen in andere bedrijfstakken buiten werking gesteld worden, zijn juist de gebeurtenissen die kunnen leiden tot een crisis op het gebied van de volksgezondheid waarbij tijdige toegang tot gezondheidsinformatie cruciaal is.

Gezondheidsorganisaties behoren ook te garanderen dat de plannen die ze ontwikkelen, regelmatig op ‘programmatische’ basis worden getoetst. De toetsen die in dat programma worden opgenomen, behoren op elkaar voort te bouwen, vanaf desktop-toetsen tot modulair toetsen tot een synthese van waarschijnlijke hersteltijden en ten slotte tot volledige oefeningen. Een dergelijk programma gaat derhalve met een laag risico gepaard en levert een echte verbetering op van het algemene bewustzijnsniveau van de gebruikerspopulatie.

Ten slotte behoort de organisatie op de hoogte te blijven van de rol die gezondheidsinformatiesystemen spelen in de continuïteit van de zorg voor cliënten. Dergelijke organisaties behoren voorbereid te zijn indien/wanneer IT-systemen niet naar behoren werken.

Overige informatie

Om de tijd en moeite voor een ‘extra’ bedrijfsimpactanalyse voor informatiebeveiliging te reduceren wordt het aanbevolen om informatiebeveiligingsaspecten op te nemen in de normale bedrijfsimpactanalyse van het bedrijfscontinuïteitsbeheer of van het rampenherstelbeheer. Dit impliceert dat de continuïteitseisen van de informatiebeveiliging expliciet worden geformuleerd in de procedures van het bedrijfscontinuïteitsbeheer of het rampenherstelbeheer.

ISO/IEC 27031, ISO 22313 en ISO 22301 bieden informatie over bedrijfscontinuïteitsbeheer.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Een organisatie behoort ervoor te zorgen dat:

a) er een adequate beheerstructuur is die is voorbereid op een verstorende gebeurtenis, deze verzacht en erop reageert met personeel dat beschikt over de nodige autoriteit, ervaring en competentie;

b) personeel voor incidentrespons wordt aangesteld dat beschikt over de nodige verantwoordelijkheid, autoriteit en competentie om een incident te af te handelen en de informatiebeveiliging te handhaven;

c) op basis van door de directie goedgekeurde doelstellingen voor informatiebeveiligingscontinuïteit, gedocumenteerde plannen, respons- en herstelprocedures worden ontwikkeld en goedgekeurd, waarin gedetailleerd wordt omschreven hoe de organisatie een verstorende gebeurtenis zal aanpakken en haar informatiebeveiliging op een vooraf vastgesteld niveau zal handhaven (zie 17.1.1).

In overeenstemming met de eisen voor informatiebeveiligingscontinuïteit behoort de organisatie het volgende vast te stellen, te documenteren, te implementeren en te onderhouden:

a) beheersmaatregelen voor informatiebeveiliging binnen processen, procedures en ondersteunende systemen en instrumenten voor bedrijfscontinuïteit of rampenherstel;

b) processen, procedures en implementatieveranderingen om bestaande beheersmaatregelen voor informatiebeveiliging tijdens een ongunstige situatie te handhaven;

c) compenserende beheersmaatregelen voor beheersmaatregelen voor informatiebeveiliging die tijdens een ongunstige situatie niet kunnen worden gehandhaafd.

Zorgspecifieke implementatierichtlijn

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren processen, systemen en andere relevante uitrusting te identificeren die vitaal zijn voor de verlening van zorg.

Om storingen in processen, systemen en relevante uitrusting die van vitaal belang zijn voor de zorgverlening op te vangen, behoren noodprocedures als noodzakelijk te worden beschouwd.

Overige informatie

Binnen de context van bedrijfscontinuïteit of rampenherstel zijn mogelijk specifieke processen en procedures gedefinieerd. Informatie die binnen deze processen en procedures of ter ondersteuning van deze processen en procedures binnen aangewezen informatiesystemen wordt behandeld, behoort te worden beschermd. Daarom behoort een organisatie informatiebeveiligingsspecialisten te betrekken bij het vaststellen, implementeren en onderhouden van processen en procedures voor bedrijfscontinuïteit of rampenherstel.

Beheersmaatregelen voor informatiebeveiliging die zijn geïmplementeerd behoren tijdens een ongunstige situatie van toepassing te blijven. Indien beveiligingsbeheersmaatregelen niet langer in staat zijn informatie te beveiligen, behoren andere beheersmaatregelen te worden vastgesteld, geïmplementeerd en onderhouden om een acceptabel niveau van informatiebeveiliging te handhaven.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig te verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Veranderingen betreffende de organisatie, procedures, processen of van technische aard, hetzij in een context van uitvoering, hetzij van continuïteit, kunnen leiden tot veranderingen in de eisen betreffende informatiebeveiligingscontinuïteit. In dergelijke gevallen behoort de continuïteit van processen, procedures en beheersmaatregelen voor informatiebeveiliging te worden beoordeeld tegen de achtergrond van deze veranderde eisen.

Organisaties behoren de continuïteit van hun informatiebeveiligingsbeheer te verifiëren door:

a) de functionaliteit van processen, procedures en beheersmaatregelen voor informatiebeveiligingscontinuïteit te oefenen en te testen om te waarborgen dat ze consistent zijn met de doelstellingen van de informatiebeveiligingscontinuïteit;

b) de kennis en routine voor het uitvoeren van processen, procedures en beheersmaatregelen voor informatiebeveiligingscontinuïteit te oefenen en te testen om te waarborgen dat de prestaties consistent zijn met de doelstellingen van de informatiebeveiligingscontinuïteit;

c) de deugdelijkheid en doeltreffendheid van maatregelen voor informatiebeveiligingscontinuïteit te beoordelen als informatiesystemen, informatiebeveiligingsprocessen, -procedures en ‑beheersmaatregelen, of de procedures en oplossingen van bedrijfscontinuïteitsbeheer of rampenherstelbeheer veranderen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Verifiëren van beheersmaatregelen voor informatiebeveiligingscontinuïteit verschilt van de algemene tests en verificatie van informatiebeveiliging en behoort buiten het testen van veranderingen te worden verricht.

Indien mogelijk is het raadzaam om het verifiëren van beheersmaatregelen voor informatiebeveiligingscontinuïteit te integreren met het testen van de bedrijfscontinuïteit of het rampenherstel van de organisatie.

Overige zorgspecifieke informatie

<geen>


Doelstelling: Beschikbaarheid van informatieverwerkende faciliteiten bewerkstelligen.


Beheersmaatregel

Informatieverwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Organisaties behoren de bedrijfseisen voor de beschikbaarheid van informatiesystemen vast te stellen. Als de beschikbaarheid niet kan worden gegarandeerd door middel van de bestaande systeemarchitectuur, behoren redundante componenten of architecturen in overweging te worden genomen.

Indien van toepassing behoren redundante informatiesystemen te worden getest om te waarborgen dat de automatische omschakeling van de ene op de andere component bij storing werkt zoals voorzien.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Het implementeren van redundante componenten kan risico’s voor de integriteit of de vertrouwelijkheid van informatie en informatiesystemen introduceren, waarmee bij het ontwerpen van informatiesystemen rekening behoort te worden gehouden.

Overige zorgspecifieke informatie

<geen>