(Medische) Informatiebeveiliging;
ISO 27001/ NEN 7510
Een Managementsysteem voor informatiebeveiliging (Information Security Management System – ISMS) beschrijft een model voor het beheersen van risico’s en voor het implementeren van informatiebeveiliging binnen een organisatie. De internationale ISO/IEC 27001 standaard specificeert de eisen voor de planning, implementatie, werking, bewaking, onderhoud en verbetering van een gedocumenteerd ISMS.
De Nederlandse NEN 7510:2017 is de norm voor medische informatie.
Wellicht maakt u binnen uw organisatie al gebruik van een ISMS. Dit kunt u via een Certificerings-Instituut laten certificeren. Als u nog niet in het bezit bent van een ISMS dan kunt u een systeem in samenwerking met een professional van MERIT BV I.O laten ontwikkelen, waarna dit systeem gecertificeerd kan worden. Het ontwikkelen van een systeem vindt plaats in een aantal fases.
Fase 0: Inventarisatie ISMS
Een oriënterend onderzoek, proef-audit genaamd, waarbij de huidige situatie in kaart wordt gebracht en geanalyseerd.
Hierbij moet gedacht worden aan het in kaart brengen van:
- Belanghebbende partijen; Leveranciers, klanten, Wet- en Regelgeving;
- Soorten informatie; Commerciële informatie, persoonsgegevens, kritische gegevens;
- IT-voorzieningen; Personal Computers, laptops, internetverbinding, servers, software.
Fase 1a: Risicoanalyse
Stap twee binnen de eerste fase betreft een Risico-inventarisatie gebaseerd op:
- Aanwezige IT-voorzieningen en hun impact op de bedrijfsprocessen
- Dreigingen onderzoek op basis van beschikbaarheid, Integriteit en Vertrouwelijkheid;
- Wat is de kans dat een dreiging zich voordoet op een bepaalde voorziening?
- Hoeveel schade, binnen welk proces, kan er ontstaan wanneer een dreiging zich voordoet?
Fase 1b: Implementatie en controle van risico’s.
- Het opstellen van een manier om uw risico’s te controleren (systeem) inclusief planning van de op te stellen en te implementeren maatregelen.
Hiermee is het gedocumenteerde managementsysteem opgesteld.
Fase 2: Operationele implementatie van het gedocumenteerde managementsysteem
De tweede stap in fase 2 betreft de volgende maatregelen:
- Het opstellen van maatregelen om uw bedrijf zo veilig mogelijk te maken en te houden op basis van de benodigde maatregelen uit de ISO 27001:2013, Annex A in combinatie met de resultaten uit de risicoanalyse;
- Het binnen uw bedrijf implementeren van het gedocumenteerde systeem en deze opgestelde maatregelen;
- Het opleiden van de persoon die intern het systeem gaat beheren
- Het trainen van medewerkers opdat zij zich bewust zijn van het managementsysteem, de risico’s en leren hoe dit kan worden gecontroleerd.
Is uw interesse gewekt?
Meer informatie over ISMS implementatie binnen uw organisatie? Neem dan CONTACT met mij op!