SlideShare une entreprise Scribd logo

Informatievoorziening in de zorg_Jan Willem Schoemaker

Tools4ever NL
Tools4ever NL

Jan Willem Schoemaker, lid van de NEN7510 normcommissie 'Informatievoorziening in de zorg', vertelt tijdens de Tools4ever zorgdag 2012 over de nieuwste criteria in de laatste versie van NEN 7510. Daarbij spelen met name het toepassen van een managementsysteem en het periodiek uitvoeren van een risicoanalyse een veel belangrijkere rol dan in de vorige versie van NEN7510. Wat voor consequenties heeft dat voor uw zorginstelling en hoe ga je daar mee om?

1  sur  17
Télécharger pour lire hors ligne
Toelichting NEN 7510 Drs. J.W.R. Schoemaker CISSP, Lid NEN normcommissie Informatievoorziening in de zorg 7 juni 2012 Toelichting NEN7510 1
Inhoud • Toelichting informatiebeveiliging • Toelichting NEN 7510 • Wat is nieuw in NEN 7510? • Afsluiting Toelichting NEN 7510 2
Toelichting NEN 7510 3
Toelichting NEN 7510 4
Toelichting informatiebeveiliging Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Toelichting NEN 7510 5
Toelichting NEN 7510 Identificatie en authenticatie Autorisatie Role based Access control Toelichting NEN 7510 6
Waarom informatiebeveiliging? • Patiëntveiligheid • Beschikbaarheid, integriteit, vertrouwelijkheid • Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg) • Wet- en regelgeving (WGBO, WBP, NEN 7510) • Voorkoming van (financiële) schade • Bescherming van het imago van de organisatie Toelichting NEN 7510 7
Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse Toelichting NEN 7510 8
Kenmerken NEN 7510 • Combinatie van: – Organisatorischemaatregelen – Technische maatregelen – Fysieke maatregelen • Gericht op: – Bedrijfsprocessen – Informatievoorziening – Infomatietechnologie – Geautomatiseerd en niet-geautomatiseerd Toelichting NEN 7510 9
Risicoanalyse • Kritieke bedrijfsprocessen/ - Risicoanalyse Inventariseer de informatiemiddelen middelen Bepaal de waarde van de Inventariseer de • Bedreigingen informatiemiddelen en afhankelijkheden ertussen Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen • Kwetsbaarheden Beoordeel de risico’s • Huidige kwaliteitsniveau Bepaal af te dekken risico’s maatregelen Kies de maatregelen • Beoordeling Restrisico aanvaarden? • Conclusies Nee • Aanbevelingen => Ja Informatiebeveilligingsbeleid risicobehandeling Informatiebeveiligingsplan Toelichting NEN 7510 10
Managementsysteem (ISMS) Plan Interested Interested Parties Het ISMS Parties Establish vaststellen Establish Belang- ISMS Belang- hebbenden ISMS hebbenden Het ISMS implemen- Implement and Het ISMS bijhoudenand Maintain Do Implement and teren en uitvoeren Maintain and en verbeteren Act operate the ISMS improve the ISMS operate the ISMS improve the ISMS Het ISMS bewaken Monitor and en beoordelen and Monitor Eisen en review the ISMS Information ISMS review the ISMS verwachtingen Managed Beheerde t.a.v. informatie-security informatie- beveiliging requirements beveiliging Check security and expectations Toelichting NEN 7510 11
Inhoud NEN 7510 • Beveiligingsbeleid • Organisatie van informatiebeveiliging • Beheer van bedrijfsmiddelen • Personeel • Fysieke beveiliging en beveiliging van de omgeving • Beheer van communicatie- en bedieningsprocessen • Toegangsbeveiliging • Verwerving, ontwikkeling en onderhoud van informatiesystemen • Beheer van informatiebeveiligingsincidenten • Bedrijfscontinuïteitsbeheer • Naleving Toelichting NEN 7510 12
Nieuw in NEN 7510? • Nieuwe indeling • Aandachtspunten en aanbevelingen voor implementatie • Specifieke beheersmaatregelen voor de zorgsector Toelichting NEN 7510 13
Nieuw in NEN 7510? • Contact met specifieke belangengroepen • Beveiliging in omgang met klanten • Aanvaardbaar gebruik van bedrijfsmiddelen • Maatregelen tegen ‘mobile code’ • E-commerce / online transacties • Logbestanden administrators / operators • Authenticatie gebruikers externe verbindingen Toelichting NEN 7510 14
Nieuw in NEN 7510? • Meer aandacht voor toegangsbeveiliging (‘Identity & Access Management’), o.a. tweefactor authenticatie bij toegang tot patiëntgegevens • Sleutelbeheer (encryptie) • Beheer van technische kwetsbaarheden Toelichting NEN 7510 15
Consequenties zorginstelling • Nietklakkeloos beheersmaatregelen invoeren, maar: – Risicoanalyse(generiek en specifiek) – Invoeren ISMS – Aandacht besteden aan nieuwe beheersmaatregelen (waar nodig) • Tip: gebruik het Praktijkboek NEN 7510! Toelichting NEN 7510 16
Afsluiting ? ? ? ? ? ? ? ? Toelichting NEN 7510 17

Recommandé

Security voor dummies v1
Security voor dummies v1Security voor dummies v1
Security voor dummies v1MarcHagemeijer
 
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Tools4ever NL
 
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everPizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everTools4ever NL
 
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialistPizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialistTools4ever NL
 
Pizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGELPizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGELTools4ever NL
 
Pizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie CitrixPizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie CitrixTools4ever NL
 
Pizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd SeinenPizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd SeinenTools4ever NL
 
Pizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van KesselPizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van KesselTools4ever NL
 

Recommandé

Security voor dummies v1
Security voor dummies v1Security voor dummies v1
Security voor dummies v1MarcHagemeijer
 
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Tools4ever NL
 
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everPizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everTools4ever NL
 
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialistPizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialistTools4ever NL
 
Pizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGELPizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGELTools4ever NL
 
Pizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie CitrixPizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie CitrixTools4ever NL
 
Pizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd SeinenPizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd SeinenTools4ever NL
 
Pizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van KesselPizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van KesselTools4ever NL
 
Hoe versla je het role based access control monster
Hoe versla je het role based access control monsterHoe versla je het role based access control monster
Hoe versla je het role based access control monsterTools4ever NL
 
Password Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanPassword Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanTools4ever NL
 
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersVeilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersTools4ever NL
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4everTools4ever NL
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4everTools4ever NL
 
Identity management in de zorg
Identity management in de zorgIdentity management in de zorg
Identity management in de zorgTools4ever NL
 
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsRene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsTools4ever NL
 
Jacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everJacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everTools4ever NL
 
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesHans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesTools4ever NL
 
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsArnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsTools4ever NL
 
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTools4ever NL
 

Contenu connexe

Plus de Tools4ever NL

Hoe versla je het role based access control monster
Hoe versla je het role based access control monsterHoe versla je het role based access control monster
Hoe versla je het role based access control monsterTools4ever NL
 
Password Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanPassword Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanTools4ever NL
 
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersVeilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersTools4ever NL
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4everTools4ever NL
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4everTools4ever NL
 
Identity management in de zorg
Identity management in de zorgIdentity management in de zorg
Identity management in de zorgTools4ever NL
 
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsRene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsTools4ever NL
 
Jacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everJacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everTools4ever NL
 
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesHans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesTools4ever NL
 
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsArnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsTools4ever NL
 
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTools4ever NL
 

Plus de Tools4ever NL (11)

Hoe versla je het role based access control monster
Hoe versla je het role based access control monsterHoe versla je het role based access control monster
Hoe versla je het role based access control monster
 
Password Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanPassword Management & SSO door Eric Vlasman
Password Management & SSO door Eric Vlasman
 
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersVeilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4ever
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4ever
 
Identity management in de zorg
Identity management in de zorgIdentity management in de zorg
Identity management in de zorg
 
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsRene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
 
Jacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everJacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4ever
 
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesHans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
 
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsArnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
 
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
 

Informatievoorziening in de zorg_Jan Willem Schoemaker

  • 1. Toelichting NEN 7510 Drs. J.W.R. Schoemaker CISSP, Lid NEN normcommissie Informatievoorziening in de zorg 7 juni 2012 Toelichting NEN7510 1
  • 2. Inhoud • Toelichting informatiebeveiliging • Toelichting NEN 7510 • Wat is nieuw in NEN 7510? • Afsluiting Toelichting NEN 7510 2
  • 5. Toelichting informatiebeveiliging Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Toelichting NEN 7510 5
  • 6. Toelichting NEN 7510 Identificatie en authenticatie Autorisatie Role based Access control Toelichting NEN 7510 6
  • 7. Waarom informatiebeveiliging? • Patiëntveiligheid • Beschikbaarheid, integriteit, vertrouwelijkheid • Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg) • Wet- en regelgeving (WGBO, WBP, NEN 7510) • Voorkoming van (financiële) schade • Bescherming van het imago van de organisatie Toelichting NEN 7510 7
  • 8. Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse Toelichting NEN 7510 8
  • 9. Kenmerken NEN 7510 • Combinatie van: – Organisatorischemaatregelen – Technische maatregelen – Fysieke maatregelen • Gericht op: – Bedrijfsprocessen – Informatievoorziening – Infomatietechnologie – Geautomatiseerd en niet-geautomatiseerd Toelichting NEN 7510 9
  • 10. Risicoanalyse • Kritieke bedrijfsprocessen/ - Risicoanalyse Inventariseer de informatiemiddelen middelen Bepaal de waarde van de Inventariseer de • Bedreigingen informatiemiddelen en afhankelijkheden ertussen Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen • Kwetsbaarheden Beoordeel de risico’s • Huidige kwaliteitsniveau Bepaal af te dekken risico’s maatregelen Kies de maatregelen • Beoordeling Restrisico aanvaarden? • Conclusies Nee • Aanbevelingen => Ja Informatiebeveilligingsbeleid risicobehandeling Informatiebeveiligingsplan Toelichting NEN 7510 10
  • 11. Managementsysteem (ISMS) Plan Interested Interested Parties Het ISMS Parties Establish vaststellen Establish Belang- ISMS Belang- hebbenden ISMS hebbenden Het ISMS implemen- Implement and Het ISMS bijhoudenand Maintain Do Implement and teren en uitvoeren Maintain and en verbeteren Act operate the ISMS improve the ISMS operate the ISMS improve the ISMS Het ISMS bewaken Monitor and en beoordelen and Monitor Eisen en review the ISMS Information ISMS review the ISMS verwachtingen Managed Beheerde t.a.v. informatie-security informatie- beveiliging requirements beveiliging Check security and expectations Toelichting NEN 7510 11
  • 12. Inhoud NEN 7510 • Beveiligingsbeleid • Organisatie van informatiebeveiliging • Beheer van bedrijfsmiddelen • Personeel • Fysieke beveiliging en beveiliging van de omgeving • Beheer van communicatie- en bedieningsprocessen • Toegangsbeveiliging • Verwerving, ontwikkeling en onderhoud van informatiesystemen • Beheer van informatiebeveiligingsincidenten • Bedrijfscontinuïteitsbeheer • Naleving Toelichting NEN 7510 12
  • 13. Nieuw in NEN 7510? • Nieuwe indeling • Aandachtspunten en aanbevelingen voor implementatie • Specifieke beheersmaatregelen voor de zorgsector Toelichting NEN 7510 13
  • 14. Nieuw in NEN 7510? • Contact met specifieke belangengroepen • Beveiliging in omgang met klanten • Aanvaardbaar gebruik van bedrijfsmiddelen • Maatregelen tegen ‘mobile code’ • E-commerce / online transacties • Logbestanden administrators / operators • Authenticatie gebruikers externe verbindingen Toelichting NEN 7510 14
  • 15. Nieuw in NEN 7510? • Meer aandacht voor toegangsbeveiliging (‘Identity & Access Management’), o.a. tweefactor authenticatie bij toegang tot patiëntgegevens • Sleutelbeheer (encryptie) • Beheer van technische kwetsbaarheden Toelichting NEN 7510 15
  • 16. Consequenties zorginstelling • Nietklakkeloos beheersmaatregelen invoeren, maar: – Risicoanalyse(generiek en specifiek) – Invoeren ISMS – Aandacht besteden aan nieuwe beheersmaatregelen (waar nodig) • Tip: gebruik het Praktijkboek NEN 7510! Toelichting NEN 7510 16
  • 17. Afsluiting ? ? ? ? ? ? ? ? Toelichting NEN 7510 17