Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

1 - Werken met NEN 7510

advertisement 
Checklist NEN 7510 (511-4)
Een van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van NEN 7510 omvat het bepalen van de
status van de naleving van NEN 7510, al. Dit kan worden gedaan met behulp
van onderstaande checklist.
De checklist volgt de hoofdstukken van NEN 7510. Per hoofdstuk zijn meerdere
vragen opgenomen. Bij iedere vraag kan met ‘ja’, ‘nee’ of ‘gedeeltelijk’ worden
geantwoord. ‘Ja’ betekent dat de maatregel volledig volgens de norm aanwezig
is, is ingevoerd en wordt nageleefd. ‘Nee’ betekent dat dit (nog) niet het geval
is. ‘Gedeeltelijk’ kan inhouden dat de maatregel wellicht in opzet wel aanwezig
is, maar nog niet wordt nageleefd of dat delen van de instelling zich wel houden
aan deze norm, maar andere delen nog niet. In het veld van de opmerkingen
kan een toelichting op het gegeven antwoord worden opgenomen. Op deze
manier ontstaat een checklist van mogelijke verbetermaatregelen op de
plaatsen waar geen antwoord ‘ja’ kan worden gegeven.
1 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
3. Risicomanagement
1.
Heeft de instelling risicomanagement
voor informatiebeveiliging ingericht?
2.
Wordt periodiek een risicoanalyse voor
informatiebeveiliging uitgevoerd?
4. Managementsysteem voor informatiebeveiliging
3.
Heeft de instelling een managementsysteem voor informatiebeveiliging
ingericht?
4.
Is de leiding van de instelling actief
betrokken bij het managementsysteem
voor informatiebeveiliging?
5.
Heeft de leiding van de instelling het
managementsysteem voor informatiebeveiliging vastgesteld?
6.
Heeft de instelling het managementsysteem voor informatiebeveiliging
geïmplementeerd?
7.
Wordt het managementsysteem voor
informatiebeveiliging gemonitord en
beoordeeld?
8.
Wordt het managementsysteem voor
informatiebeveiliging onderhouden en
verbeterd?
9.
Is het managementsysteem voor
informatiebeveiliging gedocumenteerd?
5. Beveiligingsbeleid
10. Beschikt de instelling over een
beleidsdocument voor informatiebeveiliging?
11. Vindt periodiek een beoordeling en
evaluatie plaats van het informatiebeveiligingsbeleid?
6. Organisatie van informatiebeveiliging
12. Is de leiding van de instelling actief
betrokken bij informatiebeveiliging?
13. Worden de activiteiten voor
informatiebeveiliging binnen de
instelling gecoördineerd?
2 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
14. Zijn de verantwoordelijkheden voor
informatiebeveiliging toegewezen
binnen de instelling?
15. Is er een goedkeuringsproces voor de
installatie en het in gebruik nemen van
nieuwe middelen voor de informatievoorziening?
16. Hanteert de instelling een
geheimhoudingsovereenkomst?
17. Onderhoudt de instelling contacten met
relevante overheidsinstanties?
18. Onderhoudt de instelling contacten met
speciale belangengroepen of andere
specialistische platforms voor
beveiliging en professionele
organisaties?
19. Wordt de implementatie van informatiebeveiliging periodiek, en bij belangrijke
wijzigingen, onafhankelijk beoordeeld?
20. Worden de risico's bepaald die
samenhangen met de betrokkenheid
van externe gebruikers bij informatieverwerkende voorzieningen en worden
hiervoor geschikte beheersmaatregelen
genomen?
21. Worden alle geïdentificeerde
beveiligingseisen geadresseerd voordat
klanten toegang wordt verleend tot de
informatie of bedrijfsmiddelen van de
instelling?
22. Zijn beveiligingseisen gespecificeerd in
contracten met derden die betrekking
hebben op de toegang het verwerken
van, communicatie van of beheer van
informatieverwerkende voorzieningen
van de instelling?
7. Beheer van bedrijfsmiddelen
23. Zijn alle bedrijfsmiddelen duidelijk
geïdentificeerd en is er een overzicht
van alle belangrijke bedrijfsmiddelen?
3 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
24. Hebben alle informatie en bedrijfsmiddelen die verband houden met de
informatievoorziening een
‘verantwoordelijke’?
25. Zijn er regels vastgesteld,
gedocumenteerd en geïmplementeerd
voor aanvaardbaar gebruik van
informatie en bedrijfsmiddelen die
verband houden met informatievoorziening?
26. Wordt informatie geclassificeerd met
betrekking tot de waarde, wettelijke
eisen, gevoeligheid en onmisbaarheid
voor de organisatie?
27. Zijn procedures ontwikkeld en
geïmplementeerd voor de kabbeling en
verwerking van informatie in
overeenstemming met het classificatiesysteem dat de organisatie heeft
geïmplementeerd?
28. Wijzen alle informatiesystemen die
patiëntgegevens verwerken de
gebruikers, bijvoorbeeld via een
inlogboodschap, op de vertrouwelijkheid van de gegevens die via het
systeem toegankelijk zijn?
29. Zijn documenten met patiëntgegevens
van het kenmerk “vertrouwelijk”
voorzien?
8. Personeel
30. Zijn de rollen en verantwoordelijkheden
van werknemers, ingehuurd personeel
en externe gebruikers ten aanzien van
beveiliging vastgesteld en
gedocumenteerd in overeenstemming
met het beleid voor informatiebeveiliging van de organisatie?
4 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
31. Wordt de achtergrond van alle
kandidaten voor een dienstverband,
ingehuurd personeel en externe
gebruikers geverifieerd in
overeenstemming met relevante
wetten, voorschriften en ethische
overwegingen, en wordt deze
afgestemd op de bedrijfseisen, de
classificatie van de informatie waartoe
toegang wordt verleend, en op de
waargenomen risico's?
32. Aanvaarden werknemers, ingehuurd
personeel en externe gebruikers als
onderdeel van hun contractuele
verplichting de algemene voorwaarden
en ondertekenen zijn hun arbeidscontract?
33. Zijn in het arbeidscontract
verantwoordelijkheden van werknemers
en die van de organisatie ten aanzien
van informatiebeveiliging vastgelegd?
34. Is in de aanstellingsvoorwaarden van
medewerkers, vrijwilligers of
contractanten die patiëntgegevens
verwerken of gaan verwerken een
verklaring opgenomen over de
geheimhouding en zorgvuldigheid die
daarbij is vereist vanuit het informatiebeveiligingsbeleid van de instelling?
35. Eist de leiding van de instelling van
werknemers, ingehuurd personeel en
externe gebruikers dat ze beveiliging
toepassen in overeenstemming met
vastgesteld beleid en vastgestelde
procedures van de instelling?
36. Krijgen alle werknemers van de
instelling en, voorzover van toepassing,
ingehuurd personeel en externe
gebruikers, geschikte training en
regelmatige bijscholing met betrekking
tot beleid en procedures van de
organisatie, voorzover relevant voor
hun functie?
5 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
37. Krijgen alle medewerkers de training
over informatiebeveiliging bij aanvang
van het dienstverband en is voorzien in
regelmatige opfrissing van de kennis?
38. Is er formeel disciplinair proces
vastgesteld voor werknemers die
inbreuk op de beveiliging hebben
gepleegd?
39. Zijn de verantwoordelijkheden bij
beëindiging of wijziging van het
dienstverband duidelijk vastgesteld en
toegewezen?
40. Retourneren alle werknemers,
ingehuurd personeel en externe
gebruikers alle bedrijfsmiddelen van de
organisatie die ze in hun bezit hebben
bij beëindiging van hun dienstverband,
contract of overeenkomst?
41. Worden de toegangsrechten van alle
werknemers, ingehuurd personeel en
externe gebruikers tot informatie en ITvoorzieningen ingetrokken bij
beëindiging van het dienstverband, het
contract of de overeenkomst, en
worden deze na wijziging aangepast?
9. Fysieke beveiliging en beveiliging van de omgeving
42. Zijn er toegangsbeveiligingen (barrières
zoals muren, toegangspoorten met
kaartsloten of een bemande receptie)
aangebracht om ruimten te
beschermen waar zich informatie en ITvoorzieningen bevinden, in het
bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar
informatiesystemen met patiëntgegevens zijn opgesteld?
43. Worden beveiligde zones beschermd
door geschikte toegangsbeveiliging, om
te bewerkstelligen dat alleen bevoegd
personeel wordt toegelaten?
44. Wordt fysieke beveiliging van kantoren,
ruimten en faciliteiten ontworpen en
toegepast?
6 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
45. Wordt fysieke bescherming tegen
schade door brand, overstroming,
aardschokken, explosies, oproer en
andere vormen van natuurlijke of
menselijke calamiteiten ontworpen en
toegepast?
46. Worden een fysieke bescherming en
richtlijnen voor werken in beveiligde
ruimten ontworpen en toegepast?
47. Worden toegangspunten zoals
gebieden voor laden en lossen en
andere punten waar onbevoegden het
terrein kunnen betreden, beheerst en
indien mogelijk afgeschermd van ITvoorzieningen, om onbevoegde
toegang te voorkomen?
48. Wordt apparatuur zo geplaatst en
beschermd dat risico's van schade en
storing van buitenaf en de gelegenheid
voor onbevoegde toegang worden
verminderd tot een vooraf door de
organisatie bepaald niveau?
49. Worden er maatregelen getroffen om
de gevolgen van stroomuitval en
onderbrekingen van andere
nutsvoorzieningen te beperken?
50. Worden voedings- en
telecommunicatiekabels die voor
dataverkeer of ondersteunende
informatiediensten worden gebruikt,
tegen interceptie of beschadiging
beschermd?
51. Wordt apparatuur op correcte wijze
onderhouden, om te waarborgen dat de
apparatuur in goede staat verkeert en
de geleverde informatiediensten
beschikbaar blijven?
52. Worden alle gevoelige gegevens en in
licentie gebruikte programmatuur
vernietigd of op veilige wijze
overschreven, wanneer apparatuur
wordt verwijderd die opslagmedia
bevat?
7 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
53. Mogen apparatuur, informatie en
programmatuur van de organisatie niet
zonder toestemming vooraf van de
locatie worden meegenomen?
10. Operationeel beheer van informatie- en communicatievoorzieningen
54. Worden bedieningsprocedures
gedocumenteerd, bijgehouden en
beschikbaar gesteld aan alle gebruikers
die deze nodig hebben?
55. Worden wijzigingen in de
informatievoorziening en informatiesystemen beheerst met een formeel en
gestructureerd proces dat niet
onbedoeld afbreuk doet aan de
informatievoorziening en de continuïteit
van zorg?
56. Worden taken en
verantwoordelijkheidsgebieden
gescheiden om gelegenheid voor
onbevoegde of onbedoelde wijziging of
misbruik van de bedrijfsmiddelen van
de organisatie te verminderen?
57. Scheidt de instelling omgevingen voor
ontwikkeling, testen en voor
instructiedoeleinden, van de
productieomgeving (fysiek of virtueel)
om het risico van onbevoegde toegang
tot of wijzigingen in het productiesysteem te verminderen?
58. Wordt bewerkstelligd dat de
beveiligingsmaatregelen, definities van
dienstverlening en niveaus van
dienstverlening zoals vastgelegd in de
overeenkomst voor dienstverlening
door een derde partij worden
geïmplementeerd en uitgevoerd en
actueel worden gehouden door die
derde partij?
59. Worden de diensten, rapporten en
registraties die door de derde partij
worden geleverd, regelmatig
gecontroleerd en beoordeeld?
8 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
60. Worden wijzigingen in de dienstverlening door derden, waaronder het
bijhouden en verbeteren van bestaande
beleidslijnen, procedures en maatregelen voor informatiebeveiliging,
beheerd, waarbij rekening wordt
gehouden met de onmisbaarheid van
de betrokken bedrijfssystemen en
-processen en met heroverweging van
risico's?
61. Wordt het gebruik van middelen
gecontroleerd en afgestemd en worden
er verwachtingen opgesteld voor
toekomstige capaciteitseisen met het
oog op de vereiste systeemprestaties?
62. Stelt de instelling acceptatiecriteria vast
voor nieuwe informatiesystemen,
upgrades en nieuwe versies voert de
instelling geschikte testen uit
voorafgaand aan de acceptatie?
63. Worden er maatregelen getroffen voor
detectie, preventie en herstel om te
beschermen tegen virussen en andere
kwaadaardige programmatuur en
worden er geschikte maatregelen
getroffen om het risicobewustzijn van
de gebruikers te vergroten?
64. Als gebruik van ‘mobile code’ is
toegelaten, bewerkstelligt de
configuratie da dat de geautoriseerde
‘mobile code’ functioneert volgens een
duidelijk vastgesteld beveiligingsbeleid,
en wordt voorkomen dat onbevoegde
‘mobile code’ wordt uitgevoerd?
65. Worden er stelselmatig back-upkopieën
van informatie en programmatuur
gemaakt en wordt de herstelprocedure
regelmatig getest, in overeenstemming
met het vastgestelde back-upbeleid?
66. Worden van alle patiëntgegevens backupkopieën gemaakt en in een veilige
omgeving opgeslagen om de
beschikbaarheid te waarborgen?
9 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
67. Worden netwerken adequaat beheerd
en beheerst om ze te beschermen
tegen bedreigingen en om beveiliging
te handhaven voor de systemen en
toepassingen die gebruikmaken van
het netwerk, waaronder informatie die
wordt getransporteerd?
68. Worden beveiligingskenmerken,
niveaus van dienstverlening en
beheerseisen voor alle netwerkdiensten
geïdentificeerd en opgenomen in elke
overeenkomst voor netwerkdiensten,
zowel voor diensten die intern worden
geleverd als voor uitbestede diensten?
69. Zijn er procedures vastgesteld voor het
beheer van verwijderbare media?
70. Worden alle gegevens op verwijderbare
media op veilige wijze overschreven of
worden de media in overeenstemming
met formele procedures vernietigd
wanneer deze niet meer nodig zijn?
71. Worden er procedures vastgesteld voor
de behandeling en opslag van
informatie om deze te beschermen
tegen onbevoegde openbaarmaking of
misbruik?
72. Worden media met patiëntgegevens
fysiek beveiligd? Wordt op de staat en
locatie van media met patiëntgegevens
controle uitgeoefend?
73. Wordt systeemdocumentatie
beschermd tegen onbevoegde
toegang?
74. Is er een beleid vastgesteld, waarin is
opgenomen welke gegevens in
aanmerking komen voor uitwisseling,
zowel intern als extern, inclusief de
daarbij geldende voorwaarden?
10 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
75. Zijn er formeel beleid, formele
procedures en formele beheersmaatregelen vastgesteld om de
uitwisseling van informatie via het
gebruik van alle typen communicatiefaciliteiten te beschermen?
76. Worden er overeenkomsten
vastgesteld voor de uitwisseling van
informatie en programmatuur tussen de
organisatie en externe partijen?
77. Worden media die informatie bevatten,
beschermd tegen onbevoegde
toegang, misbruik of corrumperen
tijdens transport buiten de fysieke
begrenzing van de organisatie?
78. Wordt informatie die een rol speelt bij
elektronische berichtuitwisseling op
geschikte wijze beschermd?
79. Worden beleid en procedures
ontwikkeld en geïmplementeerd om
informatie te beschermen die een rol
speelt bij de onderlinge koppeling van
systemen voor bedrijfsinformatie?
80. Wordt informatie die een rol speelt bij
e-commerce en die via openbare
netwerken wordt uitgewisseld,
beschermd tegen frauduleuze
activiteiten, geschillen over contracten
en onbevoegde openbaarmaking en
modificatie?
81. Wordt informatie die een rol speelt bij
online transacties beschermd om
herhaling van transacties, onvolledige
overdracht, onjuiste routing,
onbevoegde wijziging van berichten,
onbevoegde openbaarmaking,
onbevoegde duplicatie of weergave van
berichten te voorkomen?
82. Wordt de betrouwbaarheid van de
informatie die beschikbaar wordt
gesteld op een openbaar toegankelijk
systeem beschermd om onbevoegde
modificatie te voorkomen?
11 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
83. Wordt openbaar beschikbare zorginformatie (te onderscheiden van
patiëntgegevens) systematisch
gearchiveerd?
84. Wordt van openbaar beschikbare
zorginformatie de bron of auteur
vermeld?
85. Worden er audit-logbestanden
aangemaakt waarin activiteiten van
gebruikers, uitzonderingen en
informatiebeveiligingsgebeurtenissen
worden vastgelegd? Worden deze
logbestanden gedurende een
overeengekomen periode bewaard, ten
behoeve van toekomstig onderzoek en
toegangscontrole?
86. Worden er procedures vastgesteld om
het gebruik van IT-voorzieningen te
controleren? Wordt het resultaat van de
controleactiviteiten regelmatig
beoordeeld?
87. Worden logfaciliteiten en informatie in
logbestanden beschermd tegen inbreuk
en onbevoegde toegang?
88. Is de logging van informatiesystemen
voor het verwerken van
patiëntgegevens beveiligd en niet te
manipuleren?
89. Worden activiteiten van systeemadministrators en systeemoperators in
logbestanden vastgelegd?
90. Worden storingen in logbestanden
vastgelegd en geanalyseerd en worden
er geschikte maatregelen genomen?
91. Worden de klokken van alle relevante
informatiesystemen binnen een
organisatie of beveiligingsdomein
gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron?
12 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
92. Voorzien zorginformatiesystemen die
tijdkritische zorgactiviteiten ondersteunen voorzien in synchronisatie om
mogelijke tijdverschillen tussen
verschillende registraties van
activiteiten te signaleren en daarvoor te
corrigeren?
11. Toegangsbeveiliging
93. Wordt een toegangsbeleid vastgesteld,
gedocumenteerd en beoordeeld op
basis van bedrijfseisen en
beveiligingseisen voor toegang?
94. Hanteert de instelling een toegangsbeleid ten aanzien van deze gegevens?
Voldoet het toegangsbeleid aan
professionele, ethische, wettelijke en
patiëntgerelateerde eisen en komt het
tevens tegemoet aan de eisen die het
werk van zorgprofessionals stelt en
wordt speciale aandacht besteed aan
de beschikbaarheid van gegevens bij
het verlenen van acute zorg?
95. Zijn er formele procedures voor het
registreren en afmelden van gebruikers
vastgesteld, voor het verlenen en
intrekken van toegangsrechten tot alle
informatiesystemen en -diensten?
96. Waarborgt de instelling dat toegang tot
systemen die patiëntgegevens
verwerken deel uitmaakt van een
formele gebruikersregistratieprocedure? Waarborgt deze procedure
dat de mate van vereiste authenticatie
bij een gebruiker in overeenstemming
is met het resulterende niveau van
toegang?
97. Worden de toewijzing en het gebruik
van speciale bevoegdheden beperkt en
beheerst?
98. Wordt de toewijzing van wachtwoorden
met een formeel beheerproces
beheerst?
13 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
99. Beoordeelt de instelling de
toegangsrechten van gebruikers, met
inbegrip van de gebruikersregistraties
en details daarbinnen, regelmatig in
een formeel proces om zich te
vergewissen dat ze compleet en
nauwkeurig zijn en dat toegang nog
steeds is gewenst?
100. Nemen gebruikers goede beveiligingsgewoontes in acht bij het kiezen en
gebruiken van wachtwoorden?
101. Bewerkstelligen gebruikers dat
onbeheerde apparatuur passend is
beschermd?
102. Wordt er een ‘clear desk’-beleid en een
‘clear screen’-beleid voor ITvoorzieningen ingesteld?
103. Worden gebruikers alleen toegang
verleend tot diensten waarvoor ze
specifiek bevoegd zijn?
104. Worden er geschikte authenticatiemethoden gebruikt om toegang van
gebruikers op afstand te beheersen?
105. Wordt automatische identificatie van
apparatuur overwogen als methode om
verbindingen vanaf specifieke locaties
en apparatuur te authenticeren?
106. Wordt de fysieke en logische toegang
tot poorten voor diagnose en
configuratie beheerst?
107. Worden groepen informatiediensten,
gebruikers en informatiesystemen op
netwerken gescheiden?
108. Worden de toegangsmogelijkheden
voor gebruikers beperkt in
overeenstemming met het toegangsbeleid en de eisen van bedrijfstoepassingen voor gemeenschappelijke
netwerken, vooral waar deze de
grenzen van de organisatie
overschrijden?
14 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
109. Zijn netwerken voorzien van
beheersmaatregelen voor netwerkroutering om te bewerkstelligen dat
computerverbindingen en informatiestromen niet in strijd zijn met het
toegangsbeleid voor de
bedrijfstoepassingen?
110. Wordt de toegang tot besturingssystemen beheerst met een beveiligde
inlogprocedure?
111. Beschikt elke gebruiker over een
unieke identificatiecode (gebruikers-ID)
voor persoonlijk gebruik, en wordt er
een geschikte authenticatietechniek
gekozen om de geclaimde identiteit van
de gebruiker te bewijzen?
112. Passen informatiesystemen, die
patiëntgegevens verwerken,
authenticatie toe op basis van ten
minste twee afzonderlijke kenmerken?
113. Zijn systemen voor wachtwoordbeheer
interactief en bewerkstelligen deze dat
wachtwoorden van geschikte kwaliteit
worden gekozen?
114. Wordt het gebruik van hulpprogrammatuur waarmee systeem- en
toepassingsbeheersmaatregelen
zouden kunnen worden gepasseerd,
beperkt en strikt beheerst?
115. Worden interactieve sessies na een
vastgestelde periode van inactiviteit
automatisch ontoegankelijk gemaakt?
116. Wordt de verbindingstijd beperkt als
aanvullende beveiliging voor
toepassingen met een verhoogd risico?
117. Worden toegang tot informatie en
functies van toepassingssystemen door
gebruikers en ondersteunend
personeel beheerst in overeenstemming met het vastgestelde
toegangsbeleid?
15 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
118. Hebben systemen met een bijzonder
hoge gevoeligheid waar het gaat om
vertrouwelijkheid en/of om
beschikbaarheid en/of om integriteit
een eigen, vast toegewezen
(geïsoleerde) computeromgeving?
119. Is er formeel beleid vastgesteld en zijn
er geschikte beveiligingsmaatregelen
getroffen ter bescherming tegen risico's
van het gebruik van draagbare
computers en communicatiefaciliteiten?
120. Worden er beleid, operationele plannen
en procedures voor telewerken
ontwikkeld en geïmplementeerd?
12. Aanschaf, ontwikkeling en onderhoud van informatiesystemen
121. Worden in bedrijfseisen voor nieuwe
informatiesystemen of uitbreidingen
van bestaande informatiesystemen ook
eisen voor beveiligingsmaatregelen
opgenomen?
122. Worden gegevens die worden
ingevoerd in toepassingen gevalideerd
om te bewerkstelligen dat deze
gegevens juist en geschikt zijn?
123. Voorzien informatiesystemen die
patiëntgegevens verwerken, alle
patiëntgegevens gecontroleerd van de
juiste patiëntidentificatie?
124. Worden er validatiecontroles
opgenomen in toepassingen om
eventueel corrumperen van informatie
door verwerkingsfouten of opzettelijke
handelingen te ontdekken?
125. Worden er eisen vastgesteld, en
geschikte beheersmaatregelen
vastgesteld en geïmplementeerd, voor
het bewerkstelligen van authenticiteit
en het beschermen van integriteit van
berichten in toepassingen?
16 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
126. Wordt gegevensuitvoer uit een
toepassing gevalideerd, om te
bewerkstelligen dat de verwerking van
opgeslagen gegevens op de juiste
manier plaatsvindt en geschikt is
gezien de omstandigheden?
127. Tonen informatiesystemen bij het
presenteren van patiëntgegevens altijd
voldoende identificerende gegevens
om het de zorgverlener mogelijk te
maken vast te stellen dat de
patiëntgegevens de patiënt in kwestie
betreffen?
128. Wordt er beleid ontwikkeld en
geïmplementeerd voor het gebruik van
cryptografische beheersmaatregelen
voor de bescherming van informatie?
129. Is er sleutelbeheer vastgesteld ter
ondersteuning van het gebruik van
cryptografische technieken binnen de
instelling?
130. Zijn er procedures vastgesteld om de
installatie van programmatuur op
productiesystemen te beheersen?
131. Worden testgegevens zorgvuldig
gekozen, beschermd en beheerst?
132. Worden er geen tot personen
herleidbare patiëntgegevens gebruikt
als testgegevens?
133. Wordt de toegang tot broncode van
programmatuur beperkt?
134. Wordt de implementatie van wijzigingen
beheerst door middel van formele
procedures voor wijzigingsbeheer?
135. Worden bij wijzigingen in
besturingssystemen bedrijfskritische
toepassingen beoordeeld en getest om
te bewerkstelligen dat er geen nadelige
gevolgen zijn voor de activiteiten of
beveiliging van de organisatie?
17 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
136. Worden wijzigingen in programmatuurpakketten ontmoedigd, beperkt tot
noodzakelijke wijzigingen, en worden
alle wijzigingen strikt beheerst?
137. Wordt er voorkomen dat
informatielekken ontstaan?
138. Treft de instelling bij uitbestede
ontwikkeling van programmatuur
maatregelen ter waarborging van de
kwaliteit van de ontwikkelde
programmatuur?
139. Wordt er tijdig informatie verkregen
over technische kwetsbaarheden van
de gebruikte informatiesystemen?
Wordt de mate waarin de organisatie
blootstaat aan dergelijke
kwetsbaarheden geëvalueerd en
worden er geschikte maatregelen
genomen voor behandeling van
daarmee samenhangende risico's?
13. Beheer van informatiebeveiligingsincidenten
140. Worden informatiebeveiligingsgebeurtenissen zo snel mogelijk via de
juiste leidinggevende niveaus
gerapporteerd?
141. Wordt van alle werknemers, ingehuurd
personeel en externe gebruikers van
informatiesystemen en -diensten geëist
dat zij alle waargenomen of verdachte
zwakke plekken in systemen of
diensten registreren en rapporteren?
142. Worden er verantwoordelijkheden en
procedures vastgesteld om een snelle,
doeltreffende en ordelijke reactie op
informatiebeveiligingsincidenten te
bewerkstelligen?
143. Zijn er mechanismen ingesteld
waarmee de aard, omvang en kosten
van informatiebeveiligingsincidenten
kunnen worden gekwantificeerd en
gevolgd?
18 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
144. Wordt bewijsmateriaal verzameld,
bewaard en gepresenteerd in
overeenstemming met de voorschriften
voor bewijs die voor het relevante
rechtsgebied zijn vastgelegd, daar waar
een vervolgprocedure tegen een
persoon of organisatie na een
informatiebeveiligingsincident juridische
maatregelen omvat (civiel of
strafrechtelijk)?
14. Bedrijfscontinuïteitsbeheer
145. Wordt er een beheerd proces voor
bedrijfscontinuïteit in de gehele
organisatie ontwikkeld en bijgehouden
waarbinnen de eisen voor
informatiebeveiliging worden
meegenomen die nodig zijn voor de
continuïteit van de bedrijfsvoering?
146. Worden gebeurtenissen die tot
onderbreking van bedrijfsprocessen
kunnen leiden, geïdentificeerd,
tezamen met de waarschijnlijkheid en
de gevolgen van dergelijke
onderbrekingen en hun gevolgen voor
informatiebeveiliging?
147. Wordt een continuïteitsstrategie
vastgesteld, gedocumenteerd,
ingevoerd en onderhouden. Wordt
hierin voor ieder bedrijfsproces een
maximaal toegelaten uitvalduur (MUD)
en een maximaal toelaatbaar verlies
aan gegevens (MGV) vastgesteld?
148. Worden er plannen ontwikkeld en
geïmplementeerd om de
bedrijfsactiviteiten te handhaven of te
herstellen en om de beschikbaarheid
van informatie op het vereiste niveau
en in de vereiste tijdspanne te
bewerkstelligen na onderbreking of
uitval van kritische bedrijfsprocessen?
19 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
149. Wordt er een enkelvoudig kader voor
bedrijfscontinuïteitsplannen
gehandhaafd om te bewerkstelligen dat
alle plannen consistent zijn, om eisen
voor informatiebeveiliging op
consistente wijze te behandelen en om
prioriteiten vast te stellen voor testen
en onderhoud?
150. Worden bedrijfscontinuïteitsplannen
regelmatig getest en geactualiseerd,
om te bewerkstelligen dat ze actueel en
doeltreffend blijven?
15. Naleving
151. Worden alle relevante wettelijke en
regelgevende eisen en contractuele
verplichtingen en de benadering van de
organisatie in de naleving van deze
eisen, expliciet vastgesteld,
gedocumenteerd en actueel gehouden
voor elk informatiesysteem en voor de
instelling?
152. Worden er geschikte procedures
geïmplementeerd om te
bewerkstelligen dat wordt voldaan aan
de wettelijke en regelgevende eisen en
contractuele verplichtingen voor het
gebruik van materiaal waarop
intellectuele eigendomsrechten kunnen
berusten en het gebruik van
programmatuur waarop intellectuele
eigendomsrechten berusten?
153. Worden belangrijke registraties
beschermd tegen verlies, vernietiging
en vervalsing, in overeenstemming met
wettelijke en regelgevende eisen,
contractuele verplichtingen en
bedrijfsmatige eisen?
20 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
154. Wordt ervoor gezorgd dat tot een
persoon herleidbare gegevens niet
langer worden bewaard dan
noodzakelijk en dat het risico van
onbedoelde openbaarmaking van
persoonsgegevens waar mogelijk wordt
beperkt door vernietigen van de
gegevens, dan wel door anonimiseren
of pseudonimiseren?
155. Wordt de bescherming van gegevens
en privacy bewerkstelligd in
overeenstemming met relevante
wetgeving, voorschriften en indien van
toepassing contractuele bepalingen?
156. Heeft de instelling, behoudens
wettelijke uitzonderingen, toestemming
van de patiënt voor het uitwisselen van
zijn gegevens?
157. Worden gebruikers ervan weerhouden
IT-voorzieningen te gebruiken voor
onbevoegde doeleinden?
158. Worden cryptografische beheersmaatregelen in overeenstemming met
alle relevante overeenkomsten, wetten
en voorschriften gebruikt?
159. Bewerkstelligen managers dat alle
beveiligingsprocedures die binnen hun
verantwoordelijkheid vallen correct
worden uitgevoerd om naleving te
bereiken van beveiligingsbeleid en normen?
160. Worden informatiesystemen regelmatig
gecontroleerd op naleving van
implementatie van technische
beveiligingsnormen?
161. Worden eisen voor audits en andere
activiteiten waarbij controles worden
uitgevoerd op productiesystemen,
zorgvuldig gepland en goedgekeurd om
het risico van verstoring van
bedrijfsprocessen tot een minimum te
beperken?
21 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Checklist NEN 7510, Informatiebeveiliging in de zorg
Normhoofdstuk/ Vraag
Ja / Nee /
Gedeeltelijk
Opmerking
162. Wordt toegang tot hulpmiddelen voor
audits van informatiesystemen
beschermd om mogelijk misbuik of
compromittering te voorkomen?
22 / 22
versie 2.0 – 20-7-2017
Praktijkboek NEN7510
5.1.1 Checklist NEN7510
Related documents
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Procedure anti-virusmaatregelen (1041-1)
Procedure anti-virusmaatregelen (1041-1)
Checklist biografie
Checklist biografie
kern en keuze-elementen van introductiebeleid
kern en keuze-elementen van introductiebeleid
Checklist voordat u met vakantie gaat. U gaat bijna
Checklist voordat u met vakantie gaat. U gaat bijna
Checklist competentiemanagement 1. Visiebepaling
Checklist competentiemanagement 1. Visiebepaling
de Checklist_Quickscan_v1.0
de Checklist_Quickscan_v1.0
salmonella Actie Plan - lambers
salmonella Actie Plan - lambers
Checklist fysieke belasting
Checklist fysieke belasting
Het Nederlands Normalisatie-instituut, NEN, is het
Het Nederlands Normalisatie-instituut, NEN, is het
NEN 7510 informatiebeveiliging in de zorg Is de NEN 7510
NEN 7510 informatiebeveiliging in de zorg Is de NEN 7510
Download
advertisement