Presentatie NEN7510
Download
Report
Transcript Presentatie NEN7510
NEN
7510
NEN norm voor Informatiebeveiliging
voor de zorgsector in Nederland
“Beveiliging kan niet een sluitpost zijn”.
21 october 2012
Ricoh Nederland
Market Development Healthcare, Pieter Rahusen
mmBusiness Consultancy, Robert Reemer en Gerald Lie
Overzicht van de presentatie
Waarom informatiebeveiliging in de zorg?
Wat is de NEN 7510 norm?
Doel van de NEN 7510 norm
Historie van de NEN 7510 norm
Context NEN 7510 norm
Aandachtsgebieden NEN 7510 norm
Implementatie NEN 7510 norm
Stappenplan invoering NEN 7510 norm
Relevante partijen in de zorg
Veelgestelde vragen
Waarom informatiebeveiliging in de zorg?
Steeds meer nadruk op ketenzorg
Goede communicatie tussen zorginstellingen nodig
- informatie is van levensbelang (patiëntveiligheid)
- kwaliteit van de informatie dus ook (juistheid en volledigheid)
Conclusies onderzoek IGZ naar informatie uitwisseling (2011):
- Grootste risico’s in de zorg bij informatie uitwisseling, ongeacht wel of niet
inzet van ICT hierbij
- Patiëntgerelateerde informatie is versnipperd opgeslagen (zelfs binnen instellingen)
- Ondanks toenemend gebruik van een EPD (Elektronisch Patiënten Dossier)
- Dossiers zijn niet actueel
- Dossiers zijn niet compleet
- Bevatten deels informatie die niet relevant is voor de zorgprofessional
Wat is de NEN 7510 norm
Norm voor Informatiebeveiliging voor de zorgsector in Nederland
Ontwikkeld door het Nederlands Normalisatie-instituut (NEN)
De norm is gebaseerd op de Code voor Informatiebeveiliging
Aangepast vanwege privacybescherming en taalgebruik
De NEN 7510 norm is aanvulbaar met:
- NEN 7511 (gericht op voorschrift solopraktijken, samenwerkings-verbanden
en grote instellingen)
- NEN 7512 (gericht op AORTA, nationale infrastructuur voor uitwisseling
elektronische gegevens in de zorg)
- NEN 7513 (gericht op vastleggen/logging van acties op het elektronisch
patiëntendossier)
Doel van de NEN 7510 norm
Doel van NEN 7510: een kader bieden voor het realiseren van adequate
informatiebeveiliging, door:
- Borgen van de kwaliteitscriteria (kader bieden)
- Mogelijk maken dat de benodigde informatiebeveiligingsmaatregelen op
controleerbare wijze zijn ingericht (ondersteuning bij implementatie)
Onder informatiebeveiliging in de zorg wordt verstaan:
- het waarborgen van de beschikbaarheid van alle informatie
- het waarborgen van de integriteit van alle informatie
- het waarborgen van de vertrouwelijkheid van alle informatie
benodigd om patiënten verantwoorde zorg te kunnen bieden
Historie van de NEN 7510 norm
In 2004 is de Nederlandse norm NEN 7510 gepubliceerd.
Elke vijf jaar wordt een beslissing genomen of een norm wordt gehandhaafd,
gereviseerd of ingetrokken. In 2009 is de NEN 7510 norm door de normcommissie
303006 'Informatievoorziening in de zorg gecontroleerd op actualiteit. Mede gezien de
publicatie van de norm NEN-EN-ISO 27799 (in 2008) is besloten dat NEN 7510 moet
worden gereviseerd, met als gewenst resultaat:
- De eisen worden enigszins aangescherpt
- De norm wordt gemakkelijker implementeerbaar
Aangezien de driedelige norm NEN 7511 samenhangt met NEN 7510 is deze norm
in de revisie meegenomen.
De gereviseerde norm NEN 7510 is recent (eind oktober 2011) gepubliceerd.
Na publicatie zijn NEN 7510:2004 en NEN 7511:2005 ingetrokken.
Context NEN 7510 norm
Aandachtsgebieden NEN 7510 norm
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Onderwerp en toepassingsgebied
Normatieve verwijzingen
Termen en definities
Structuur van de norm
Beveiligingsbeleid
Organiseren van informatiebeveiliging
Beheer van middelen voor de informatievoorziening
Beveiligingseisen t.a.v. personeel
Fysieke beveiliging en beveiliging van de omgeving
Operationeel beheer van informatie en communicatie voorzieningen
Beveiliging toegang tot informatie
Aanschaf, ontwikkeling en onderhoud van informatiesyst.
Continuïteitsbeheer
Naleving
Beveiligingsincidenten
5. Beveiligingsbeleid
Informatiebeveiligingsbeleid
Beleidsdocument voor informatiebeveiliging
Beoordeling van het informatiebeveiligingsbeleid
- Evaluatie
- actualisatie
6. Organiseren van informatiebeveiliging
Organisatorische infrastructuur
- Betrokkenheid directie
- Coördinatie van informatiebeveiliging
- Toewijzing verantwoordelijkheden
- Onafhankelijke beoordeling van informatiebeveiliging
Beveiliging van toegang door derden
- Identificatie van risico’s
- Beveiliging in omgang met derden
- Beveiliging in overeenkomsten met derden
Uitbesteding
7. Beheer van bedrijfsmiddelen
Beheer van bedrijfsmiddelen
- Verantwoordelijkheid voor bedrijfsmiddelen
- Verantwoordelijken voor bedrijfsmiddelen
- Inventarisatie van bedrijfsmiddelen
- Aanvaardbaar gebruik van bedrijfsmiddelen
Classificatie van informatie
- Richtlijnen voor classificatie
- Labeling en verwerking van informatie
8. Beveiligingseisen t.a.v. personeel
Voorafgaand aan dienstverband
- Rollen en verantwoordelijkheden
- Screening
- Arbeidsvoorwaarden
Tijdens het dienstverband
- Directieverantwoordelijkheid
- Bewustzijn, opleiding en training t.a.v. informatiebeveiliging
- Disciplinaire maatregelen
Beëindiging of wijziging van dienstverband
- Beëindiging van verantwoordelijkheden
- Retourneren van bedrijfsmiddelen
- Intrekken van toegangsrechten
9. Fysieke beveiliging en omgeving
Beveiligde ruimten
- Fysieke toegangsbeveiliging
- Beveiliging van kantoren, ruimten en faciliteiten
- Bescherming tegen bedreigingen van buitenaf
- Werken in beveiligde ruimten
Beveiliging van apparatuur
- Plaatsing en bescherming apparatuur
- Bekabeling
- Onderhoud van apparatuur
- Beveiliging van apparatuur buiten het terrein
- Verwijdering van bedrijfseigendommen
10. Operationeel beheer info/voorzieningen
Bedieningsprocedures en verantwoordelijkheden
- Wijzigingsbeheer
- Functiescheiding
Beheer van dienstverlening door derden
Systeemplanning en -acceptatie
Bescherming tegen kwaadaardige software en “mobile code”
Back-up en herstel
Netwerkbeheer
Behandeling en beveiliging van opslagmedia
Uitwisseling van informatie en software
11. Beveiliging toegang tot informatie
Beleid ten aanzien van toegangsbeveiliging
Identificatie en authentificatie
- Registratie van gebruikers
- Gebruikersidentificatie
- Keuze van authentificatiewijze
- Beheer van identificatie-/authentificatiesystemen
- Gebruik van wachtwoorden en authentificatiemiddelen
Autorisatie en toegangscontrole
- Management van toegangsrechten/autorisatiebeheer
- Toegangsbeveiliging voor netwerken
- Toegangsbeveiliging voor besturingssystemen
- Toegangsbeveiliging voor toepassingen
- Monitoring van toegang en gebruik van systemen
- Mobiele computers en telewerken
12. Aanschaf, ontwikkeling en onderhoud
Beveiligingseisen voor systemen
Beveiliging in toepassingssystemen
Cryptografische beveiliging
Beveiliging van systeembestanden
Beveiliging bij ontwikkel- en ondersteuningsprocessen
Ondersteuning implementatie NEN 7510
Stappenplan
Implementatiekaarten
Voorbeelden
Artikelen
Checklists
‘Top-tien’
Bedreigingen en
maatregelen
Sjablonen
Bewustwording
Beeldvorming
Onderhoud
Prioriteitstelling
Ontwerp
Evaluatie
Planning
Implementatie
Stappenplan invoering NEN 7510 norm
Breng de bedrijfsprocessen in kaart
Bepaal de afhankelijkheid van elektronische informatie uitwisseling
Inventariseer en analyseer de mogelijke bedreigingen
- Risico analyse uitvoeren (kans x impact)
- Beoordelen op beschikbaarheid, integriteit en vertrouwelijkheid
Maak keuze voor de te nemen beveiligingsmaatregelen
Leg maatregelen vast in een informatiebeveiligingsplan
Implementeer de beveiligingsmaatregelen
Stappenplan invoering NEN 7510 norm
CBP: Privacy
College Bescherming Persoonsgegevens,houdt toezicht op de naleving van
wetten die het gebruik van persoonsgegevens regelen
IGZ: Kwaliteit
Inspectie voor de Gezondheidszorg, bevordert de volksgezondheid door
effectieve handhaving van de kwaliteit van zorg, preventie en medische
producten.
CVZ: Doelmatigheid
College voor Zorgverzekeringen, overheidsorganisatie die erover waakt dat
verzekerden via de Zorgverzekeringswet en de Algemene Wet Bijzondere
Ziektekosten de zorg kunnen krijgen die voor hen noodzakelijk is
NEN: normen
NEderlandse Norm (samenwerkingsverband van Normalisatie-instituut en
de Stichting NEC), begeleidt het maken van afspraken over producten,
werkwijzen en diensten, en publiceert deze
NICTIZ: GBZ (goed beheerd zorgsysteem) i.v.m. aansluiting op (ex)LSP
Nationaal ICT instituut in de zorg, landelijk expertisecentrum dat
ontwikkeling van ICT in de zorg faciliteert
Veelgestelde vragen
1
Is het gebruik van NEN 7510 verplicht?
Bij verantwoorde zorg hoort ook hoe de zorginstelling en de hulpverlener de
informatie verwerken, die noodzakelijk is voor goede patiëntenzorg.
Informatieverwerking en beveiliging is dan ook onderdeel van verantwoorde zorg
en valt daarmee onder het toezichtsterrein van de Inspectie voor de
Gezondheidszorg (IGZ). Sinds 2010 is de NEN 7510 norm voor zorginstellingen
verplicht (als gevolg van de invoering van het BSN en gebruik van een EPD). De
IGZ toetst zorginstellingen op basis van de NEN 7510 norm of de juiste
maatregelen zijn getroffen voor invoering en handhaving van een adequate
informatiebeveiliging.
Veelgestelde vragen
2
Wat is een geavanceerde elektronische handtekening en is zo’n
handtekening wel veilig?
Voor een 'gewone' elektronische handtekening zijn de eisen verbonden:
- dat deze op een unieke wijze aan de ondertekenaar verbonden moeten zijn
- het moet mogelijk zijn de ondertekenaar te identificeren
- deze moet tot stand komen met middelen die de ondertekenaar onder zijn
controle kan houden
- tevens dient iedere wijziging van de gegevens achteraf te kunnen worden
opgespoord.
De geavanceerde elektronische handtekening gaat nog een stap verder en moet
gebaseerd zijn op een gekwalificeerd certificaat en zijn gegenereerd door een
veilig middel voor het aanmaken van elektronische handtekeningen. Dit is conform
de Europese Richtlijn 1999/91/EG.
Veelgestelde vragen
3
Moet in gebruik genomen software gecertificeerd zijn tegen NEN 7510?
Nee. De zorginstelling dient te voldoen aan NEN 7510. Zij stellen een pakket van
eisen op en leggen dit voor bij de softwareleverancier. De leverancier moet, via
specificaties, kunnen aantonen dat hij kan voldoen aan de gestelde eisen.
NEN7510 Document
Dank voor uw aandacht
Vragen?
25
26