Wie ISO/IEC 27002 in een gezondheidsomgeving wil implementeren, zal tot de ontdekking komen dat de meeste controledoelstellingen ervan in vrijwel alle situaties van toepassing zijn. Het is echter nodig dat gebruikers van de norm in de zorg ook situaties herkennen waarin aanvullende controledoelstellingen nodig kunnen zijn. Dit is vaak het geval indien klinische processen samengaan met specialistische apparaten zoals scanners en infuusapparatuur, zelfs als de beveiligingsbeheersmaatregelen alleen maar het handhaven van de integriteit van de gegevens van de apparatuur betreffen. Verschillende rechtsgebieden zullen ook verschillende juridische kaders hebben, waardoor het vereiste toepassingsgebied in verband met nalevingsactiviteiten kan veranderen.
ISO/IEC 27001 introduceert het concept van een ‘informatiebeveiligingsmanagementsysteem’ (ISMS) en beschrijft de noodzaak van dit gedetailleerde kader van beheersmaatregelen als men tracht te voldoen aan de beveiligingsdoelstellingen waarvan een risicobeoordeling heeft aangetoond dat die relevant zijn. Internationale ervaring en erkende ‘best practice’-beginselen voor informatiebeveiliging geven aan dat het voortdurend naleven van ISO/IEC 27002 het beste gegarandeerd kan worden door het implementeren van een managementsysteem zoals geschetst in figuur B.1.
Figuur B.1 — Het informatiebeveiligingsmanagementsysteem
Gezondheidsorganisaties behoren, waar mogelijk, hun ISMS te integreren in de hieronder beschreven informatiegovernanceprocessen en rekening te houden met de richtlijnen van de hoofdstukken die hier volgen.
Een fout die veelvuldig wordt gemaakt, met name door volksgezondheidsorganisaties waarvoor er meestal geen centrale eis geldt voor formele accreditatie of certificering, is dat het naleven van ISO/IEC 27002 als slechts het vaststellen van een checklist wordt omschreven. Om echt aan deze norm te voldoen moeten organisaties in staat zijn aan te tonen dat ze over een werkend ISMS beschikken dat gepaste auditprocessen voor het controleren van naleving omvat. Deze naleving past goed bij de regelgevingskaders waaronder gezondheidszorginstellingen meestal opereren.
Het is belangrijk dat een organisatie in de zorg duidelijk de steun van het management heeft alvorens men conformiteit met ISO/IEC 27002 tracht te realiseren. Aangezien actieve betrokkenheid en ondersteuning van het management essentieel zijn om te kunnen slagen, behoort die betrokkenheid onder andere te worden geuit door schriftelijke en mondelinge uiteenzettingen van de verbintenis tot het belang van gezondheidsinformatiebeveiliging en het erkennen van de voordelen ervan. Risicobeoordeling brengt de mogelijkheid met zich mee dat ernstige risico's worden ontdekt die op hun beurt weer substantiële veranderingen kunnen vereisen aan bestaande processen om die risico's tegen te gaan. Van de persoonlijke bereidheid van het management om zichzelf en de organisatie aan veranderingen in processen te onderwerpen en pioniers van die veranderingen te zijn, behoort duidelijk blijk te worden gegeven.
De vier paragrafen hieronder (B.4 tot en met B.7) geven richtlijnen over het inrichten en vervolgens uitvoeren van een ISMS in een gezondheidsomgeving. Dit vereist dat een cyclus van activiteiten wordt uitgevoerd, zoals wordt geïllustreerd in figuur B.2.
Figuur B.2 — ISMS-procesoverzicht
In theorie kan ISO/IEC 27002 op volledige organisaties worden toegepast. Uit ervaringen met implementaties in het Verenigd Koninkrijk en elders is echter gebleken dat het voor zeer grote eenheden zeer lastig is het werk dat daarmee gepaard gaat te voltooien en direct de eerste keer het noodzakelijke niveau van naleving te leveren.
In de zorg maakt de uitgebreide onderlinge afhankelijkheid van functies het definiëren van een toepassingsgebied tot een uitdagende taak. Daarom is het des te belangrijker dat dit goed gebeurt. Als het toepassingsgebied in verband met naleving wordt beperkt tot twee of drie zorglocaties of circa 50 personeelsleden of circa 10 processen, dan blijkt dit zeer goed te werken. Daarom is het het beste als eerstelijns zorgpraktijken, klinieken, thuiszorgteams, ziekenhuisspecialismen en -directoraten enz. allemaal een doeltreffend toepassingsgebied formuleren. Om totale dekking te realiseren en de volledige voordelen te behalen wordt dan meestal een incrementeel en iteratief proces gevolgd. De vooruitzichten dat dergelijke resultaten behaald zullen worden zouden niet ondermijnd mogen worden door een te breed toepassingsgebied in verband met naleving te selecteren. Echter, waar er derden als verlener van IT-diensten worden ingezet is ‘management van IT-dienstverlening’ alom vastgesteld als het toepassingsgebied voor naleving, en met aanzienlijk succes.
Evenals elders hebben ook in gezondheidsorganisaties de ontwikkelingen er in de afgelopen jaren toe geleid dat informatiebeveiliging van een technische of 'back-office'-functie in een prominente verantwoordelijkheid voor de onderneming is veranderd.
Om een geschikte balans te vinden tussen de ‘leverbaarheid’ van naleving en de bedrijfsvoordelen, hebben veel organisaties in de publieke sector, waaronder gezondheidsorganisaties, een eerste toepassingsgebied van ‘beveiligde levering van IT-diensten’ gedefinieerd. Hoewel dit toepassingsgebied nauwer met infrastructuur dan met bedrijfsprocessen verband houdt, levert het wel echte bedrijfsvoordelen, doordat er kritische taken mee worden gerealiseerd, waaronder het beveiligen van de infrastructuur als geheel, het stimuleren van de implementatie van eventueel benodigde updates van de beveiligingsprocessen voor het hele bedrijf en het verbeteren van identiteitsmanagement, informatiebeveiligingsbewustzijn en bedrijfscontinuïteitsmanagement. In veel van deze gebieden treden er bedrijfsvoordelen op die verder gaan dan het gekozen toepassingsgebied.
Het is daarom essentieel dat er criteria worden gebruikt om het toepassingsgebied te definiëren. De criteria dekken onderwerpen af als:
a) de mate van zichtbaarheid waarnaar wordt gestreefd;
b) de balans tussen de beoogde bedrijfs- en technische betrokkenheid;
c) de mate van lokale of gecentraliseerde beheersing waarnaar men streeft; en
d) de mate van beheersbaarheid die het toepassingsgebied met zich zal meebrengen.
Alvorens een definitief toepassingsgebied te kiezen, kan het gepast zijn een summiere, steekproefsgewijze gap-analyse uit te voeren om een 'gevoel' te krijgen van hoeveel werk er voor de verschillende aspecten nodig kan zijn voordat de definitieve keuze wordt gemaakt. Of er een 'gemakkelijk' of 'lastig' aspect wordt gekozen is aan de organisatie om te beslissen, hoewel het logisch is dat het bedrijf heel wat meer voordeel kan ontlenen aan een keuze voor de 'lastige' aspecten van het toepassingsgebied.
Een ander aspect waarop meestal fouten worden gemaakt is het interpreteren van het toepassingsgebied. Onder toepassingsgebied vallen ook de diensten die door derden worden geleverd, en de levering van vereiste ondersteunende processen, maar niet het vaststellen van hoe die ondersteunende processen worden geleverd.
SLA's en contracten kunnen ook van dienst zijn bij het definiëren van het toepassingsgebied voor zover die instrumenten effectief de grens van het toepassingsgebied definiëren. Zelfs als ze dat soms niet duidelijk doen, zal het bestuderen ervan toch nuttig blijken te zijn om aannemelijke prioriteiten voor verbetering te verhelderen.
Er behoort een formele uiteenzetting van het toepassingsgebied te worden opgesteld, met name als men naar certificering volgens ISO/IEC 27001 streeft. De uiteenzetting behoort breed bekend te worden gemaakt binnen de organisatie. Het is van essentieel belang dat de uiteenzetting van het toepassingsgebied de grens definieert van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen.
In het geval van gezondheidsorganisaties zou deze verklaring breed bekendgemaakt, beoordeeld en overgenomen moeten worden door de informatie-, klinische en corporate governance-groepen van de organisatie. Het is uit de praktijk bekend dat sommige gezondheidsorganisaties opmerkingen over de uiteenzetting hebben gevraagd van toezichthouders op beroepsgroepen van clinici die ervan op de hoogte kunnen zijn dat andere organisaties aan naleving of certificering werken.
Zie 6.1.1 voor minimumeisen met betrekking tot uiteenzettingen van het toepassingsgebied.
Zodra het toepassingsgebied is geselecteerd, is de volgende fase van het planningsproces een gap-analyse in het kader waarvan er een beoordeling van naleving op hoog niveau wordt uitgevoerd. Uit ‘best practices’ blijkt dat deze analyse gericht moet worden op de verantwoordelijkheid van de organisatie, op het implementeren en documenteren van beveiligingspraktijken evenals op het bewijs dat wordt gebruikt om de analyse te staven. Dit komt overeen met praktijken in de zorg waar de juiste vaardigheden, registraties en procedures het hoogste belang hebben.
Een fout die vaak gemaakt wordt bij dergelijke analyses, is dat er niet meer standpunten worden verzameld om een vergelijking en bevestiging mogelijk te maken: de analist riskeert dat de vergaarde opmerkingen slechts de ambities van bepaalde individuen weerspiegelen en geen coherent beeld geven van de actuele praktijken. Er behoort tijd te worden gestoken in gesprekken met zorgverleners en managers om een compleet beeld te krijgen.
Het doel van een gap-analyse is in een eerste richtlijn over vereiste verbeteringen te voorzien, in afwachting van een gedetailleerde evaluatie van de risicobeoordeling (zie B.4.4) en risicobehandeling (zie B.4.5.2). Ook kan een gap-analyse een eerste prioriteitsgraad voor dergelijke verbeteringen aangeven.
Als hart van het ISMS behoort er een geschikt informatiebeveiligingsmanagementforum (ISMF – Information Security Management Forum) te worden ingesteld dat toezicht houdt op en sturing geeft aan informatiebeveiliging. Wat in deze context 'gepast' is, verschilt van organisatie tot organisatie en zal ook binnen het spectrum van de zorg verschillen.
Het forum vormgeven zal uitdagend zijn, aangezien er rekening behoort te worden gehouden met de standpunten van veel stakeholders en er aan veel verplichtingen vanuit de regelgeving voldaan behoort te worden. De functies van het ISMF mogen niet worden gedelegeerd of versnipperd, aangezien ze dan niet meer doeltreffend zouden zijn. Het opzetten van het ISMF behoort echter ook niet te worden opgevat als een mandaat om ‘de zoveelste commissie’ op te zetten. Het is meestal beter om de focus van een bestaande commissie, zoals een commissie die zich bezighoudt met risico's of met informatiegovernance, uit te breiden. De leden behoren zo te worden gekozen dat ze het volledige bereik van de informatiezekerheids- en informatiegovernancefuncties beslaan, maar dat er ook vertegenwoordigers in zitten van de verschillende gebruikersgemeenschappen en van de belangrijkste ondersteunende functies. Vertegenwoordigers van de afdelingen interne audit en personeelszaken zijn meestal ook aanwezig.
De (virtuele of daadwerkelijke) informatiebeveiligingsfunctionaris van de organisatie behoort, onder andere, verslag uit te brengen aan het forum en hieraan secretariële diensten te verlenen, en behoort ook verantwoordelijk te zijn voor het samenstellen, publiceren en becommentariëren van de rapporten die worden ontvangen door de leden van het forum.
Door de centrale aard van informatiebeveiliging binnen informatiegovernance is het verstandig het ISMF binnen de informatiegovernancestructuur te plaatsen, maar alleen indien die laatste groep op zijn beurt weer aan de klinische governancestructuur gekoppeld is. Klinische governance houdt zich bezig met patiëntveiligheidsvraagstukken en deze houden vaak nauw verband met de gezondheidsinformatiebeveiligingsvraagstukken waarmee informatiegovernance zich moet bezighouden. Als wordt gekozen voor een informatiegovernancebenadering, onderstreept dit de kritische aard van informatiebeveiliging en maakt het een geïntegreerd proces mogelijk, met rechtstreekse input vanuit de risicoanalyse in de klinische governance. Het wegnemen van de ‘silomentaliteit’, waardoor informatiebeveiliging, gegevensbescherming, vrijheid van informatie enz. van elkaar worden gescheiden, elimineert dubbele kosten en verhoogt de integriteit van de processen.
Risicobeoordeling is het mechanisme waarmee het kader van beheersmaatregelen wordt geïdentificeerd dat ervoor zorgt dat de controledoelstellingen van ISO/IEC 27002 worden bereikt. Dit proces wordt goed gedocumenteerd in ISO/IEC TR 13335-3.
Een risico bestaat uit een causaal verband tussen een aantal bronnen van risico's. Figuur B.3 toont het verband tussen risico's en risicobronnen in ISO/IEC TR 13335-3, waardoor duidelijk wordt dat de waarde van een risico wordt bepaald op basis van de waarden van de bedrijfsmiddelen, bedreigingen en kwetsbaarheden eromheen.
Figuur B.3 — Relatie tussen risico's en bronnen van risico's in een vereenvoudigd risicomodel
Zowel ISO/IEC 27001 als ISO/IEC TR 13335-3 definiëren de bestanddelen van risicoanalyse en ‑management als:
a) het identificeren van bedrijfsmiddelen, bedreigingen en kwetsbaarheden;
b) het beoordelen van de bedrijfsimpact;
c) het beoordelen van de waarschijnlijkheid van en kwetsbaarheid voor bedreigingen;
d) het bepalen van risiconiveaus;
e) het identificeren van aanbevolen beveiligingsbeheersmaatregelen;
f) het vergelijken met bestaande beheersmaatregelen, waardoor het mogelijk is restrisicogebieden te identificeren;
g) opties voor risicobehandeling, waaronder: direct management, risicoaanvaarding, vermijding en gemanagede overdracht;
h) risicobeoordelings- en risicobehandelplannen;
i) het in kaart brengen van besluiten aan de hand van de lijst met beheersmaatregelen volgens ISO/IEC 27002.
Deze zijn allemaal van toepassing op de zorg, hoewel het ‘beoordelen van de bedrijfsimpact’ duidelijk de vele verschillende zorgberoepen behoort te omvatten. Risicobeoordelingen gericht op informatiebeveiliging die worden uitgevoerd door zorginstellingen, zouden de vruchten plukken van het volgen van dit model.
In aanvulling op de hierboven vermelde lijst is het belangrijk dat er ook inzicht wordt verkregen in hoezeer bedrijfsprocessen afhankelijk zijn van IT-diensten, hardware, software, media en locaties. Zonder dit inzicht na de analyse van de bedrijfsimpact zal het bijna onmogelijk zijn de relevante faalscenario's te begrijpen. Gezien de ernstige gevolgen die mogelijk zijn in gezondheidsorganisaties, is inzicht in deze afhankelijkheden essentieel.
Een aantal speciale overwegingen binnen de gezondheidssector is het bespreken waard.
a) Hoge risiconiveaus: De zorg kent betrekkelijk hoge risico's, met name binnen omgevingen als laboratoria, eerstehulpafdelingen en operatiekamers. Daarom behoren er vraagtekens te worden gezet bij de bevinding dat het risiconiveau van de gezondheidsinformatie-activiteiten die dergelijke omgevingen ondersteunen, laag zou zijn, hoewel men ook niet in de valkuil mag trappen zomaar aan te nemen dat elke gezondheidsinformatie-activiteit rechtstreeks verband houdt met de levering van zorg.
b) Kwalitatieve en kwantitatieve risico-evaluatie: Beoordelingen van informatiebeveiligingsrisico's in de zorg zouden zowel naar kwalitatieve als kwantitatieve factoren moeten kijken. Financiële verliezen behoren niet de belangrijkste overweging te zijn, maar er kan wel rekening mee worden gehouden als blijkt dat er grote bedragen worden betaald vanwege nalatigheid. Het zal nodig zijn zorgvuldig waarderingsrichtlijnen te formuleren die relevant zijn voor de zorg, bijv. richtlijnen die het belang erkennen van de veiligheid voor patiënten, ononderbroken beschikbaarheid van nooddiensten, professionele accreditatie en klinische regelgeving.
c) Diverse input vereist: Een risicoanalyse kan meestal niet door één persoon worden geleverd, maar iemand kan wel zijn of haar persoonlijke standpunten geven. Een risicoanalyse is eerder een activiteit die gericht is op het vinden van consensus, zodat alle standpunten worden verzameld en daadwerkelijk worden gerespecteerd. Een doeltreffende beoordeling van de informatiebeveiligingsrisico's in de zorg vereist dat de volgende vaardigheden en kennis beschikbaar zijn:
— kennis van klinische en verpleegprocessen, met inbegrip van zorgprotocollen en -trajecten;
— kennis van de formaten van klinische gegevens en de mogelijkheid van misbruik van deze gegevens;
— kennis van externe omgevingsfactoren die het risiconiveau van de eerder beschreven risicocomponenten zouden kunnen verhogen of matigen;
— informatie over eigenschappen van IT- en medische apparaten en prestatiekenmerken of kenmerken van falen;
— kennis van de historie van incidenten en gevolgenscenario's van casussen die zich echt hebben voorgedaan;
— gedetailleerde kennis van systeemarchitecturen; en
— bekendheid met verandermanagementprogramma's waardoor het niveau van een of meer risicocomponenten zou veranderen.
Bij het beoordelen van risico's zijn daadwerkelijke incidenten uit het verleden per definitie realistisch, maar misschien weerspiegelen ze niet het ergste geval dat denkbaar is. Voor het definiëren van ergste gevallen is waarschijnlijk de input van specialisten nodig. De kans is groot dat zorgverleners gebaat zullen zijn bij de input van IT-medewerkers die in staat zullen zijn faaltoestanden en scenario's die beoordeeld behoren te worden te identificeren.
d) Nalevingsverplichtingen: Aangezien de zorg een sector is met belangrijke nalevingsverplichtingen (zowel juridisch als beroepsmatig) en risicomanagementverantwoordelijkheden, zou een output waardoor risicobeoordelingen die met elkaar verband houden en die zijn uitgevoerd door verschillende disciplines of functionele groepen, gezamenlijk in kaart worden gebracht, moeten worden overwogen als hulpmiddel voor goede informatiegovernance en ook om de integriteit van individuele risicobeoordelingen te helpen garanderen.
Risicobeoordeling is bedoeld als middel om een doel te bereiken. Het behoort geen doel op zich te zijn, maar dat wordt het uiteindelijk vaak wel. Dit gaat met name op in omgevingen waar de middelen beperkt zijn, zoals men in veel zorginstellingen aantreft. Risicomanagement reageert op de risicobeoordeling door te identificeren welke beheersmaatregelen er moeten worden versterkt, welke beheersmaatregelen er al daadwerkelijk zijn ingevoerd en welke aanvullende beheersmaatregelen de organisatie moet implementeren om het restniveau van de risico's tot een aanvaardbaar niveau terug te brengen.
Door de onderlinge verbinding tussen gezondheidsinformatiesystemen is risicomanagement in de zorg extra uitdagend, aangezien slechts weinig zorginstellingen kunnen doen alsof hun systemen geïsoleerde eilanden van informatie zijn. Risicobeoordeling in de zorg leidt vaak tot vragen over informatiebeheer, -eigendom en verantwoordelijkheid. Doeltreffend risicomanagement behoort te garanderen dat de verantwoordelijkheid voor informatiebeveiliging wordt afgestemd op het gezag om beslissingen over risicomanagement te nemen.
Om het risicomanagementproces in zijn geheel duidelijk van de handeling van het managen van geïdentificeerde risico's te onderscheiden heeft de Australische en Nieuw-Zeelandse norm AS/NZ 4360 het concept van ‘risicobehandeling’ ('risk treatment' in het Engels) geïntroduceerd. Dit concept is vervolgens overgenomen door ISO/IEC 27001.
Het label 'risicobehandeling' accentueert de activiteit van het tot aanvaardbare niveaus terugbrengen van risico's (in het besef dat er nooit voldoende middelen beschikbaar zullen zijn om zelfs maar een poging tot het volledig vermijden van risico's mogelijk te maken). Risicobehandeling is met name geschikt voor gezondheidsorganisaties, omdat het gepaard gaat met de concepten van 'behandelen, overdragen of tolereren' met betrekking tot risico's.
Wat aanvaardbaar is, is iets wat elke organisatie en het personeel daarvan op individuele basis bepaalt en behoort te blijven bepalen. Dit behoort te weerspiegelen hoe groot de risicobereidheid van de organisatie is en te worden gebruikt om te garanderen dat uitgaven aan het verbeteren van informatiebeveiliging gerechtvaardigd zijn en een aantoonbaar goed gebruik vertegenwoordigen van schaarse financiële middelen. Gezondheidsorganisaties behoren hun criteria voor het accepteren van risico’s te definiëren en documenteren. De zorgspecifieke factoren die in aanmerking behoren te worden genomen zijn onder andere:
a) gezondheidssector-, branche- of organisatienormen;
b) klinische prioriteiten; en
c) reacties van cliënten.
In combinatie met zorgonafhankelijke factoren die meestal in aanmerking worden genomen bij risicobehandeling, zullen deze factoren een kosten-batenbeoordeling opleveren die de benodigde businesscase voor het zoeken van financiering kan onderbouwen.
Als er een besluit wordt genomen, meestal door het ISMF, om een bepaalde beheersmaatregel niet te implementeren, kan dit absoluut gerechtvaardigd zijn, maar dit behoort wel formeel te worden geregistreerd zodat het regelmatig kan worden (her)beoordeeld. Gezondheidsorganisaties behoren aanvaarde risico's te documenteren.
Het hierboven genoemde proces behoort overeenstemming te omvatten over wanneer (hoewel aanvaardbaar is dat dit ‘nooit’ is) het geïdentificeerde risico zal worden aangepakt door de beheersmaatregel(en) te implementeren. Plannen voor toekomstige implementaties behoren te worden weerspiegeld in het beveiligingsverbeterplan van de organisatie.
2) In NEN-EN-ISO 27799 is deze paragraaf ten onrechte ook als B.4.4 genummerd. Paragraafnummers B.4.5 tot en met B.4.10 in NEN 7510-2 komen overeen met paragraafnummers B.4 tot en met B.4.9 in NEN‑EN‑ISO 27799.
De verantwoordelijkheid voor het beveiligingsverbeterplan behoort, namens het ISMF, te worden genomen door de informatiebeveiligingsfunctionaris, gegevensbeschermingsfunctionaris of risicomanager van de organisatie, of door een andere functionaris van de organisatie met een vergelijkbare verantwoordelijkheid.
Het plan, dat vaak als een ganttgrafiek wordt vormgegeven, is meestal geen vertrouwelijk document en behoort beschikbaar te worden gesteld aan klinische en andere medewerkers. Het kan vaak goed van pas komen om vorderingen en procesverbeteringen aan te tonen.
Het plan zal het meest doeltreffend zijn voor het minimaliseren van verstoringen van de bedrijfsvoering als hierin informatiebeveiligingsverbeteringen worden gecombineerd met geplande veranderingen aan IT-faciliteiten en de verlening van zorgdiensten. Ook behoort het plan rekening te houden met bekende perioden van ongebruikelijke gezondheidszorgactiviteiten zoals de instroom van een nieuwe groep stagiairs of leerlingen.
Een uiteenzetting van toepasselijkheid kan worden beschouwd als managementsamenvatting van de staat van informatiebeveiliging binnen de organisatie, van hoe de organisatie de beveiligingseisen interpreteert en van haar strategie voor het implementeren van beveiligingsoplossingen. Dit document, dat namens het ISMF wordt onderhouden door de informatiebeveiligingsfunctionaris of een vergelijkbare functionaris, behoort te worden verstrekt aan de personen die verantwoordelijk zijn voor de klinische en corporategovernancefuncties en behoort een essentieel deel uit te maken van het governancedocumentatiepakket. Het formaat ervan is ook meestal geschikt voor gebruik als beoordelings- of bewijsinstrument ter ondersteuning van externe audits, klinische zekerheid en andere officiële inspecties.
In het ISMS-model dat wordt getoond in figuur B.1 hierboven wordt de vereiste documentatie vermeld. De essentiële documenten zijn:
— het informatiebeveiligingsbeleid van de organisatie,
— de vaststelling van het toepassingsgebied,
— de verklaring van toepasselijkheid,
— inventarisatie van te beschermen informatie en systeembedrijfsmiddelen,
— risicobeoordelingsplannen en -rapporten,
— overeengekomen procedures en normen, en
— contracten (met inbegrip van dienstverleningsovereenkomsten en overeenkomsten over acceptabel gebruik).
In aanvulling daarop kunnen de uitvoering van het ISMF en het succes ervan bij het voldoen aan klinische behoeften en prioriteiten in belangrijke mate mogelijk worden gemaakt indien deze prioriteiten worden gedocumenteerd door de klinische en corporategovernancefuncties en vervolgens als onderdeel van het documentatiepakket door het ISMF worden bijgehouden. Dit document fungeert dan als back-upmateriaal bij het ondersteunen van de besluiten over risicoaanvaarding die het ISMF neemt.
In B.4.10 worden de documenten vermeld in verband met de verschillende stappen die gepaard gaan met het vaststellen of verbeteren van een ISMS.
Het proces van naleving van ISO/IEC 27002 omvat allerlei stappen die een aanzienlijke hoeveelheid informatie en documentatie opleveren. Gezondheidsorganisaties bestaan echter in een dynamische omgeving waar risico's veranderen en nieuwe beheersmaatregelen geïmplementeerd worden. De algehele integriteit van deze informatie en documentatie behoort daarom te worden gehandhaafd.
Daarnaast betekent de gefaseerde, samengestelde, zich uitbreidende en herhalende aard van de betrokken processen dat de informatie herhaaldelijk gemanipuleerd en hergebruikt wordt in verscheidene processen, waarbij de resultaten van een later proces vaak wijzigingen vereisen aan een eerder proces. Uiteindelijk zullen besluiten meestal worden genomen tegen het licht van een aantal factoren die aanzienlijke kruisverwijzing zullen vereisen.
Gezondheidsorganisaties zouden moeten overwegen gebruik te gaan maken van instrumenten om de naleving van ISO/IEC 27002 te ondersteunen. Hoewel database-instrumenten absoluut niet verplicht zijn, is bewezen dat ze belangrijke voordelen bieden. Er zijn allerlei instrumenten beschikbaar, tegen uiteenlopende kosten – van eenvoudig en goedkoop tot uitgebreid en duurder. Gezondheidsorganisaties behoren, bij het overwegen van het gebruik van instrumenten, naar bewijs te kijken van het succesvolle gebruik door anderen en behoren de kosten van training en onderhoud in verband daarmee zorgvuldig in aanmerking te nemen, hoewel niet waarschijnlijk is dat deze hoog zullen zijn.
Nationale gezondheidsorganisaties zullen vermoedelijk de naleving willen maximaliseren en tegelijkertijd de kosten willen minimaliseren. Het is duidelijk dat het niet nodig is dat honderden ziekenhuizen in principe dezelfde risicobeoordelingen uitvoeren. Met het oog op dit probleem heeft de Britse National Health Service bijvoorbeeld een toolkit ontwikkeld waarin generieke risicomodellen van typische zorgomgevingen zijn vastgelegd. Lokaal gebruik van het instrument richt zich daarom op het creëren van een maatwerkoplossing die bij de lokale situatie past, terwijl de naleving van een centraal gedefinieerd model blijft worden gehandhaafd. Een vergelijkbare benadering zou ook kunnen worden gekozen voor de processtappen van ISO/IEC 27002.
De ondersteuning door het instrument van het proces van ISO/IEC 27002 behoort het volgende af te dekken:
a) het definiëren van een toepassingsgebied en het opstellen van een uiteenzetting van het toepassingsgebied (B.4.1);
b) een gap-analyse en verslaglegging van de gap-analyse (B.4.2);
c) het definiëren van bedrijfsmiddelen en het rapporteren over de inventarislijst van de bedrijfsmiddelen;
d) het beveiligingsverbeterplan, de rapportage hierover en het registreren van de implementatiestatus (B.4.6);
e) het vastleggen en rapporteren over een uiteenzetting van toepasselijkheid (B.4.7); en
f) het definiëren van en rapporteren over beveiligingsmiddelen.
De meer geavanceerde instrumenten bieden aanvullende functies zoals instrumenten voor het waarderen van bedrijfsmiddelen, ondersteuning voor het opstellen van afhankelijkheidsmodellen, bibliotheken met tegenmaatregelen, beveiligingsdocumentatie-ondersteuning, ondersteuning bij audits, ‘Wat als?’-functionaliteit, en grafische rapportages.
Figuur B.4 is een samenvatting van de stappen voor het inrichten van een ISMS.
Figuur B.4 — Taken en aanverwante documenten voor het inrichten van het ISMS
Het implementeren van het ISMS bestaat uit een aantal stappen:
a) Een risicobehandelplan maken: Zodra risico's via een risicoanalyse zijn geïdentificeerd behoren deze risico’s te worden onderzocht en door de directie worden aanvaard, of ze behoren te worden tegengegaan als het risico als onaanvaardbaar wordt aangemerkt. Een risicobehandelplan verduidelijkt de activiteiten die moeten worden uitgevoerd om onaanvaardbare risico's te verminderen. Het omvat een plan voor het implementeren van de gekozen beveiligingsbeheersmaatregelen (op basis van de resultaten van de risicobeoordeling) om deze onaanvaardbare risico's te verminderen of tegen te gaan. Het ISMF is ervoor verantwoordelijk te garanderen dat dit plan wordt uitgevoerd. Idealiter omvat een risicobehandelplan planningen, prioriteiten en gedetailleerde werkplannen en wijst het ook verantwoordelijkheden toe voor het implementeren van beveiligingsbeheersmaatregelen. In de zorg kan het goedkeuren van dergelijke plannen met zowel informatiegovernance- als klinische governancefuncties gepaard gaan.
b) Middelen toewijzen: Een essentiële rol van het management is voorzien in de benodigde middelen (mensen, systemen en financiën) om de beveiliging van gezondheidsinformatiebedrijfsmiddelen te garanderen.
c) Beveiligingsbeheersmaatregelen selecteren en implementeren: Hoofdstuk 5 van dit document gaat in op elk van de beveiligingsbeheersmaatregelgebieden van ISO/IEC 27002 en geeft advies en richtlijnen over de gepaste keuze van beveiligingsbeheersmaatregelen in een gezondheidsomgeving.
d) Trainen en opleiden: Paragraaf 7.2.2 hierboven gaat in op de eisen voor het trainen en opleiden voor al het personeel, contractanten, zorgverleners en anderen die toegang hebben tot gezondheidsinformatiesystemen en persoonlijke gezondheidsinformatie.
e) De bedrijfsvoering managen: Een competente doorlopende uitvoering van het ISMS is essentieel om de vertrouwelijkheid, integriteit en beschikbaarheid van gezondheidsinformatie en informatiesystemen te handhaven. Hoofdstuk 12 hierboven gaat in op de gezondheidsgerelateerde aspecten van het management van activiteiten.
f) Middelen managen: Doeltreffende informatiebeveiliging kan kostbaar zijn en competent personeel kan schaars zijn. Doeltreffende prioriteitstelling door het ISMF en zorgvuldig management van mensen en middelen zijn nodig om een doeltreffende lopende bedrijfsvoering te garanderen.
g) Beveiligingsincidenten managen: Om de gevolgen van een beveiligingsincident te minimaliseren is het belangrijk dat het incident op gepaste wijze wordt opgespoord en dat herstelmaatregelen worden getroffen. Er behoren handboeken met procedures voor het omgaan met beveiligingsincidenten te worden opgesteld en deze behoren regelmatig te worden beoordeeld en herzien. Het is met name belangrijk dat verantwoordelijkheden en stappen voor actie in de beginfase van de reactie worden gedefinieerd, aangezien de gebeurtenissen zich snel kunnen voltrekken en de kritische aard van gezondheidsinformatiesystemen weinig tijd voor bespiegeling overlaat als zich een beveiligingsincident voordoet. Ook zijn duidelijke rapportageprocedures voor beveiligingsincidenten essentieel om zeker te stellen dat het vertrouwen van stakeholders in de zorg behouden blijft en dat degenen die verantwoordelijk zijn voor corporate en klinische governance op de hoogte worden gehouden van belangrijke gebeurtenissen en de gevolgen daarvan. Hoofdstuk 16 hierboven bevat een gedetailleerde discussie van het managen van beveiligingsincidenten.
De taken die gepaard gaan met het implementeren en uitvoeren van het ISMS en de aanverwante documenten die geproduceerd worden, worden samengevat in figuur B.5.
Figuur B.5 — Taken en aanverwante documenten voor het implementeren en uitvoeren van het ISMS
De organisatie, het ISMS, en daarbinnen het ISMF, zullen de garantie moeten hebben dat het ISMS doeltreffend is, zowel wat betreft het handhaven van het momenteel geleverde beveiligingsniveau als het continu verbeteren ervan overeenkomstig de op de doelen van de organisatie afgestemde informatiebeveiligingsstrategie.
Op het meest basale niveau, en met name indien het implementeren van ISO/IEC 27001 zuiver interne doelen dient, zal een beoordeling door een klein team van elders in de organisatie een bepaalde indicatie geven van hoe doeltreffend het ISMS is. Deze benadering kan echter vaak worden gecompromitteerd door loyaliteit aan collega's en door verplichtingen op persoonlijk vlak en op organisatieniveau.
Een hiermee sterk vergelijkbare, alternatieve optie is een collegiale beoordeling regelen, waarbij de verschillende loyaliteiten op organisatieniveau van de collegiale beoordelaars tot meer objectiviteit en dus tot meer zekerheid leiden.
Ook deze optie hoeft niets te kosten als de regeling wederzijds wordt aangegaan, bijv. tussen informatiebeveiligingsfunctionarissen. Dit kan natuurlijk echter betekenen dat men zou kunnen overeenkomen dat men elkaar positieve beoordelingen geeft.
Er kunnen onafhankelijke audits tegen beperkte kosten worden verkregen van allerlei bronnen, zoals audit- en adviesbureaus of de interne auditoren van een organisatie. Het is zeer waarschijnlijk dat het rapport dat daaruit voortvloeit betrouwbaar is en van hogere kwaliteit is aangezien het meestal een hoger expertiseniveau zal weerspiegelen. Dergelijke audits brengen ook een bepaalde mate van ‘benchmarking’ met zich mee aangezien het waarschijnlijk is dat het betrokken personeel vergelijkbare onafhankelijke audits heeft uitgevoerd waarmee ze kunnen vergelijken.
Certificatieaudits omvatten meestal een sessie om het toepassingsgebied te bepalen, een beoordeling van documenten en vervolgens de audit op naleving op zich.
Op basis van de ervaring die is opgedaan door andere gecertificeerde organisaties, behoren zorginstellingen hun auditoren in te schakelen zodra ze besloten hebben dat ze zich willen laten certificeren. De auditor wordt vervolgens een partner binnen deze exercitie en naleving kan geleidelijk worden gerealiseerd, bijv. door een initiële afspraak dat de uiteenzetting van het toepassingsgebied zoals besproken in B.4.1 op de juiste wijze wordt gekaderd en geleverd moet worden. Het is echter ook de moeite waard een collegiale beoordeling of onafhankelijke audit in een tussentijdse fase te overwegen om het risico op falen verder te beperken.
Een algemene misvatting is dat certificering alleen wordt verleend als de waargenomen informatiebeveiliging op de een of andere manier ‘perfect’ is. Het enige dat benodigd is, is dat men beschikt over een ISMS dat al wordt uitgevoerd, een duidelijk inzicht in risico's en blootstelling en een managementplan om die blootstelling tot op een aanvaardbaar niveau terug te brengen. Het is zelfs mogelijk dat er tijdens het auditproces een beperkt aantal gebreken wordt geïdentificeerd die, afhankelijk van hoe belangrijk ze zijn, certificering niet in de weg staan.
Ook bestaat het misverstand dat certificering veel tijd vergt. Uit de ervaring blijkt echter dat certificatieaudits van gezondheidsorganisaties zelden meer dan vijf tot zes dagen werk vragen van de auditor die de certificatieaudit uitvoert.
De ultieme onafhankelijk audit is de audit die volgens de richtlijnen van ISO 27001 wordt uitgevoerd door een competente, onafhankelijke auditinstelling zoals veel landen die kennen. Deze audit is de meest grondige van de hier genoemde opties aangezien deze door een competente auditor zal worden uitgevoerd. Een dergelijke auditor behoort ook competent te zijn op het gebied van IT- en informatiebeveiliging. Zowel de nauwgezetheid van de audit als de benchmark van de praktijk die verwacht kan worden van zo'n audit zijn daarom hoog. De ervaring leert echter dat de kosten van een dergelijke audit nog altijd van een aanvaardbaar niveau zijn.
Gebruikers van deze norm die ervoor kiezen deze route te volgen wordt ten zeerste aangeraden dergelijke auditoren bij het begin van hun programma te betrekken zodat deze het programma geleidelijk gaan onderschrijven en steunen en het meer waarschijnlijk is dat ze uiteindelijk hun goedkeuring zullen geven, mits er geen 'verrassingen’ zijn tijdens het afsluitende auditstadium.
De taken die gepaard gaan met het monitoren en beoordelen van het ISMS en de aanverwante documenten die geproduceerd worden, worden samengevat in figuur B.6.
Figuur B.6 — Taken en aanverwante documenten voor het monitoren en beoordelen van het ISMS
Aangezien het ISMF verantwoordelijk is voor het garanderen dat gebreken worden hersteld en dat het ISMS operationeel doeltreffend blijft, behoren de resultaten van de monitoringactiviteiten die in het vorige hoofdstuk zijn beschreven naar het ISMF te worden teruggekoppeld zodat dit deze verder in overweging kan nemen.
De uiteenzetting van toepasselijkheid die wordt beschreven in B.4.7 kan een doeltreffend middel zijn om degenen die verantwoordelijk zijn voor klinische en corporate governance op de hoogte te houden van de actuele staat van het ISMS. Het gebruikte formaat is ook meestal geschikt voor gebruik als beoordelings- of bewijsinstrument ter ondersteuning van externe audits, klinische zekerheid en andere officiële inspecties.
Het beveiligingsverbeterplan dat wordt beschreven in B.4.6 is ook een belangrijk instrument om voortgang en procesverbetering aan te tonen.
De taken en aanverwante documenten voor het onderhouden en verbeteren van het ISMS zijn in figuur B.7 samengevat.
Figuur B.7 — Taken en aanverwante documenten voor het monitoren, beoordelen, onderhouden en verbeteren van het ISMS
