NEN 7510-1 Medische informatica - Informatiebeveiliging in de zorg - Deel 1: Managementsysteem 2017

Verberg hoofdstructuurtekst (HLS) Toon HLS Verberg alle toelichting Toon alle toelichting

Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1 genoemde [A1>belangrijke punten (issues)<A1] en de in 4.2 genoemde eisen overwegen, en de risico’s en kansen vaststellen die moeten worden [A1>opgepakt<A1] om:

a) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) [A1>kan behalen<A1];

b) ongewenste effecten te voorkomen of te [A1>verminderen<A1]; en

c) continue verbetering te bereiken.

De organisatie moet:

d) [A1>acties<A1] plannen om deze risico’s te beperken en kansen te benutten;

e) plannen op welke [A1>manier<A1]:

1) de [A1>acties<A1] in haar managementsysteemprocessen voor informatiebeveiliging worden geïntegreerd en geïmplementeerd; en

2) de doeltreffendheid van deze [A1>acties wordt<A1] geëvalueerd.


De organisatie moet een risicobeoordelings[A1>proces<A1] voor informatiebeveiliging definiëren en toepassen [A1>dat<A1]:

a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:

1) de risicoacceptatiecriteria; en

2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;

b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, [A1>valide<A1] en vergelijkbare resultaten opleveren;

c) de informatiebeveiligingsrisico’s [A1>identificeert:<A1]

1) het risicobeoordelingsproces voor informatiebeveiliging toepassen om de risico’s in verband met het verlies van [A1>vertrouwelijkheid, integriteit en<A1] beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en

2) de [A1>risico-eigenaren identificeren<A1];

d) de informatiebeveiligingsrisico’s [A1>analyseert:<A1]

1) de potentiële [A1>gevolgen beoordelen<A1] indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden voordoen;

2) de realistische [A1>waarschijnlijkheid beoordelen<A1] van het voorkomen van de risico’s die zijn vastgesteld in 6.1.2 c) 1); en

3) de risiconiveaus [A1>vaststellen<A1];

e) de informatiebeveiligingsrisico’s [A1>evalueert:<A1]

1) de [A1>resultaten vergelijken<A1] van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en

2) de geanalyseerde [A1>risico’s prioriteren<A1] voor risicobehandeling.

De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces [A1>voor<A1] informatiebeveiliging.


De organisatie moet een behandelprocedure voor informatiebeveiligingsrisico’s definiëren en toepassen om:

a) passende opties voor het behandelen van informatiebeveiligingsrisico’s te kiezen, rekening houdend met de resultaten van de risicobeoordeling;

b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor het behandelen van informatiebeveiligingsrisico’s te implementeren;

OPMERKING       Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron halen.

c) de beheersmaatregelen die hiervoor in 6.1.3 b) zijn vastgesteld te vergelijken met die in bijlage A, en om te verifiëren dat geen noodzakelijke beheersmaatregelen zijn weggelaten;

OPMERKING 1       Bijlage A bevat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen. Gebruikers van deze norm worden verwezen naar bijlage A om te bewerkstelligen dat geen noodzakelijke beheersmaatregelen over het hoofd worden gezien.

OPMERKING 2       Bij de gekozen beheersmaatregelen zijn beheersdoelstellingen impliciet begrepen. De in bijlage A opgesomde beheersdoelstellingen en beheersmaatregelen zijn niet uitputtend, en mogelijk zijn aanvullende beheersdoelstellingen en beheersmaatregelen nodig.

d) een verklaring van toepasselijkheid op te stellen die bevat:

de benodigde beheersmaatregelen (zie 6.1.3 b) en c));

een rechtvaardiging voor het opnemen ervan;

de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet, en

de rechtvaardiging voor het uitsluiten van in bijlage A genoemde beheersmaatregelen.

e) een behandelplan voor informatiebeveiligingsrisico te formuleren; en

f) van de risico-eigenaren goedkeuring te verkrijgen voor het behandelplan voor informatiebeveiligingsrisico en acceptatie van de overblijvende informatiebeveiligingsrisico’s.

De organisatie moet gedocumenteerde informatie bewaren over de behandelprocedure van informatiebeveiligingsrisico’s.

OPMERKING        De beoordelings- en behandelprocedure van informatiebeveiligingsrisico’s in deze norm is in overeenstemming met de principes en algemene richtlijnen in NEN-ISO 31000.


De organisatie moet voor relevante functies [A1>en niveaus<A1] informatiebeveiligingsdoelstellingen vaststellen.

De informatiebeveiligingsdoelstellingen moeten:

a) consistent zijn met het informatiebeveiligingsbeleid;

b) meetbaar zijn (indien praktisch uitvoerbaar);

c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en resultaten van risicobeoordeling en -behandeling;

d) worden gecommuniceerd; en

e) [A1>passend bij de situatie<A1] worden geactualiseerd.

De organisatie moet gedocumenteerde informatie over de informatiebeveiligingsdoelstellingen [A1>bijhouden<A1].

Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de organisatie vaststellen:

f) wat er [A1>zal<A1]worden gedaan;

g) welke middelen er nodig zijn;

h) wie er verantwoordelijk is;

i) wanneer het [A1>zal<A1] zijn voltooid; en

j) hoe de resultaten zullen worden geëvalueerd.