NEN 7510-2
NL
EN
Terug naar home
NEN 7510-2
Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen
2017
Verberg hoofdstructuurtekst (HLS)
Toon HLS
Verberg alle toelichting
Toon alle toelichting
Inhoud
Voorwoord
0
Inleiding
1
Onderwerp en toepassingsgebied
2
Normatieve verwijzingen
3
Termen en definities
4
Structuur van de paragrafen
5
Informatiebeveiligingsbeleid
5.1
Aansturing door de directie van de informatiebeveiliging
5.1.1
Beleidsregels voor informatiebeveiliging
5.1.2
Beoordeling van het informatiebeveiligingsbeleid
6
Organiseren van informatiebeveiliging
6.1
Interne organisatie
6.1.1
Rollen en verantwoordelijkheden bij informatiebeveiliging
6.1.2
Scheiding van taken
6.1.3
Contact met overheidsinstanties
6.1.4
Contact met speciale belangengroepen
6.1.5
Informatiebeveiliging in projectbeheer
6.2
Mobiele apparatuur en telewerken
6.2.1
Beleid voor mobiele apparatuur
6.2.2
Telewerken
7
Veilig personeel
7.1
Voorafgaand aan het dienstverband
7.1.1
Screening
7.1.2
Arbeidsvoorwaarden
7.2
Tijdens het dienstverband
7.2.1
Directieverantwoordelijkheden
7.2.2
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
7.2.3
Disciplinaire procedure
7.3
Beëindiging en wijziging van dienstverband
7.3.1
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
8
Beheer van bedrijfsmiddelen
8.1
Verantwoordelijkheid voor bedrijfsmiddelen
8.1.1
Inventariseren van bedrijfsmiddelen
8.1.2
Eigendom van bedrijfsmiddelen
8.1.3
Aanvaardbaar gebruik van bedrijfsmiddelen
8.1.4
Teruggeven van bedrijfsmiddelen
8.2
Informatieclassificatie
8.2.1
Classificatie van informatie
8.2.2
Informatie labelen
8.2.3
Behandelen van bedrijfsmiddelen
8.3
Behandelen van media
8.3.1
Beheer van verwijderbare media
8.3.2
Verwijderen van media
8.3.3
Media fysiek overdragen
9
Toegangsbeveiliging
9.1
Bedrijfseisen voor toegangsbeveiliging
9.1.1
Beleid voor toegangsbeveiliging
9.1.2
Toegang tot netwerken en netwerkdiensten
9.2
Beheer van toegangsrechten van gebruikers
9.2.1
Registratie en afmelden van gebruikers
9.2.2
Gebruikers toegang verlenen
9.2.3
Beheren van speciale toegangsrechten
9.2.4
Beheer van geheime authenticatie-informatie van gebruikers
9.2.5
Beoordeling van toegangsrechten van gebruikers
9.2.6
Toegangsrechten intrekken of aanpassen
9.3
Verantwoordelijkheden van gebruikers
9.3.1
Geheime authenticatie-informatie gebruiken
9.4
Toegangsbeveiliging van systeem en toepassing
9.4.1
Beperking toegang tot informatie
9.4.2
Beveiligde inlogprocedures
9.4.3
Systeem voor wachtwoordbeheer
9.4.4
Speciale systeemhulpmiddelen gebruiken
9.4.5
Toegangsbeveiliging op programmabroncode
10
Cryptografie
10.1
Cryptografische beheersmaatregelen
10.1.1
Beleid inzake het gebruik van cryptografische beheersmaatregelen
10.1.2
Sleutelbeheer
11
Fysieke beveiliging en beveiliging van de omgeving
11.1
Beveiligde gebieden
11.1.1
Fysieke beveiligingszone
11.1.2
Fysieke toegangsbeveiliging
11.1.3
Kantoren, ruimten en faciliteiten beveiligen
11.1.4
Beschermen tegen bedreigingen van buitenaf
11.1.5
Werken in beveiligde gebieden
11.1.6
Laad- en loslocatie
11.2
Apparatuur
11.2.1
Plaatsing en bescherming van apparatuur
11.2.2
Nutsvoorzieningen
11.2.3
Beveiliging van bekabeling
11.2.4
Onderhoud van apparatuur
11.2.5
Verwijdering van bedrijfsmiddelen
11.2.6
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
11.2.7
Veilig verwijderen of hergebruiken van apparatuur
11.2.8
Onbeheerde gebruikersapparatuur
11.2.9
‘Clear desk’- en ‘clear screen’-beleid
12
Beveiliging bedrijfsvoering
12.1
Bedieningsprocedures en verantwoordelijkheden
12.1.1
Gedocumenteerde bedieningsprocedures
12.1.2
Wijzigingsbeheer
12.1.3
Capaciteitsbeheer
12.1.4
Scheiding van ontwikkel-, test- en productieomgevingen
12.2
Bescherming tegen malware
12.2.1
Beheersmaatregelen tegen malware
12.3
Back-up
12.3.1
Back-up van informatie
12.4
Verslaglegging en monitoren
12.4.1
Gebeurtenissen registreren
12.4.2
Beschermen van informatie in logbestanden
12.4.3
Logbestanden van beheerders en operators
12.4.4
Kloksynchronisatie
12.5
Beheersing van operationele software
12.5.1
Software installeren op operationele systemen
12.6
Beheer van technische kwetsbaarheden
12.6.1
Beheer van technische kwetsbaarheden
12.6.2
Beperkingen voor het installeren van software
12.7
Overwegingen betreffende audits van informatiesystemen
12.7.1
Beheersmaatregelen betreffende audits van informatiesystemen
13
Communicatiebeveiliging
13.1
Beheer van netwerkbeveiliging
13.1.1
Beheersmaatregelen voor netwerken
13.1.2
Beveiliging van netwerkdiensten
13.1.3
Scheiding in netwerken
13.2
Informatietransport
13.2.1
Beleid en procedures voor informatietransport
13.2.2
Overeenkomsten over informatietransport
13.2.3
Elektronische berichten
13.2.4
Vertrouwelijkheids- of geheimhoudingsovereenkomst
14
Acquisitie, ontwikkeling en onderhoud van informatiesystemen
14.1
Beveiligingseisen voor informatiesystemen
14.1.1
Analyse en specificatie van informatiebeveiligingseisen
14.1.1.1
Zorgontvangers op unieke wijze identificeren
14.1.1.2
Validatie van outputgegevens
14.1.2
Toepassingen op openbare netwerken beveiligen
14.1.3
Transacties van toepassingen beschermen
14.1.3.1
Openbaar beschikbare gezondheidsinformatie
14.2
Beveiliging in ontwikkelings- en ondersteunende processen
14.2.1
Beleid voor beveiligd ontwikkelen
14.2.2
Procedures voor wijzigingsbeheer met betrekking tot systemen
14.2.3
Technische beoordeling van toepassingen na wijzigingen besturingsplatform
14.2.4
Beperkingen op wijzigingen aan softwarepakketten
14.2.5
Principes voor engineering van beveiligde systemen
14.2.6
Beveiligde ontwikkelomgeving
14.2.7
Uitbestede softwareontwikkeling
14.2.8
Testen van systeembeveiliging
14.2.9
Systeemacceptatietests
14.3
Testgegevens
14.3.1
Bescherming van testgegevens
15
Leveranciersrelaties
15.1
Informatiebeveiliging in leveranciersrelaties
15.1.1
Informatiebeveiligingsbeleid voor leveranciersrelaties
15.1.2
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
15.1.3
Toeleveringsketen van informatie- en communicatietechnologie
15.2
Beheer van dienstverlening van leveranciers
15.2.1
Monitoring en beoordeling van dienstverlening van leveranciers
15.2.2
Beheer van veranderingen in dienstverlening van leveranciers
16
Beheer van informatiebeveiligingsincidenten
16.1
Beheer van informatiebeveiligingsincidenten en -verbeteringen
16.1.1
Verantwoordelijkheden en procedures
16.1.2
Rapportage van informatiebeveiligingsgebeurtenissen
16.1.3
Rapportage van zwakke plekken in de informatiebeveiliging
16.1.4
Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
16.1.5
Respons op informatiebeveiligingsincidenten
16.1.6
Lering uit informatiebeveiligingsincidenten
16.1.7
Verzamelen van bewijsmateriaal
17
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
17.1
Informatiebeveiligingscontinuïteit
17.1.1
Informatiebeveiligingscontinuïteit plannen
17.1.2
Informatiebeveiligingscontinuïteit implementeren
17.1.3
Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
17.2
Redundante componenten
17.2.1
Beschikbaarheid van informatieverwerkende faciliteiten
18
Naleving
18.1
Naleving van wettelijke en contractuele eisen
18.1.1
Vaststellen van toepasselijke wetgeving en contractuele eisen
18.1.2
Intellectuele-eigendomsrechten
18.1.3
Beschermen van registraties
18.1.4
Privacy en bescherming van persoonsgegevens
18.1.5
Voorschriften voor het gebruik van cryptografische beheersmaatregelen
18.2
Informatiebeveiligingsbeoordelingen
18.2.1
Onafhankelijke beoordeling van informatiebeveiliging
18.2.2
Naleving van beveiligingsbeleid en -normen
18.2.3
Beoordeling van technische naleving
Bijlage A (informatief) Bedreigingen voor de beveiliging van gezondheidsinformatie
Bijlage B (informatief) Praktisch plan van aanpak voor het implementeren van ISO/IEC 27002 in de zorg
B.1
Taxonomie van de internationale normen ISO/IEC 27001 en ISO/IEC 27002
B.2
Verbintenis van het management tot het implementeren van ISO/IEC 27002
B.3
Het ISMS inrichten, uitvoeren, onderhouden en verbeteren
B.4
Planning: het ISMS inrichten
B.4.1
Een toepassingsgebied in verband met naleving selecteren en definiëren
B.4.1.1
Algemeen
B.4.1.2
Criteria voor het definiëren van het toepassingsgebied in verband met naleving
B.4.1.3
Een mogelijke summiere gap-analyse tijdens het definiëren van het toepassingsgebied met betrekking tot naleving
B.4.1.4
Gecontroleerde betrokkenheid/inclusie van derden
B.4.1.5
Dienstverleningsovereenkomsten (SLA's) en contracten helpen bij het vaststellen van het toepassingsgebied
B.4.1.6
De uiteenzetting van het toepassingsgebied opstellen en verspreiden
B.4.2
Gap-analyse
B.4.3
Een forum voor de beveiliging van gezondheidsinformatie instellen
B.4.4
Risico's voor gezondheidsinformatie beoordelen
B.4.5
Risicomanagement 2)
B.4.6
Beveiligingsverbeterplan
B.4.7
Verklaring van toepasselijkheid
B.4.8
ISMS-documenten
B.4.9
Mogelijkheid van facilitering door het gebruik van instrumenten
B.4.10
Samenvatting
B.5
Do: het ISMS implementeren en uitvoeren
B.6
Check: het monitoren en beoordelen van het ISMS
B.6.1
Noodzaak van voortdurende zekerheid
B.6.2
Beoordeling van naleving
B.6.2.1
Zelfbeoordeling
B.6.2.2
Collegiale beoordeling
B.6.2.3
Onafhankelijke audit
B.6.2.4
Certificatieaudit op basis van ISO/IEC 27001
B.6.3
Samenvatting
B.7
Act: het handhaven en verbeteren van het ISMS
Bijlage C (informatief) Checklist voor naleving van zorgspecifieke beheersmaatregelen
Bibliografie
1 Onderwerp en toepassingsgebied
Opmerking
De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 1 in NEN 7510-1:2017.
Toon toelichting