Plan van aanpak informatiebeveiliging apotheek (511-2)
advertisement
Plan van aanpak informatiebeveiliging apotheek (5112) Dit voorbeelddocument bestaat uit een model voor een plan van aanpak met betrekking tot informatiebeveiliging. Uit een inventarisatie van de status van de kwaliteit van de bestaande maatregelen en/of een risicoanalyse zijn verbetermaatregelen naar voren gekomen. Het is van belang deze verbetermaatregelen op een projectmatige manier aan te pakken. Dit kan starten door het opstellen en laten vaststellen van een plan van aanpak. Naast de elementen die in dit voorbeelddocument zijn aangegeven kunnen standaard projectelementen worden toegevoegd, zoals projectorganisatie, planning, randvoorwaarden, etc. Ook is het mogelijk dat elementen uit dit voorbeelddocument worden verwerkt in een standaard format voor een projectplan dat binnen de instelling hiervoor wordt gebruikt. 1/5 versie 1.0 – 19 jul 17 Handboek NEN7510 5.1.1 Plan van aanpak informatiebeveiliging Inhoudsopgave Plan van aanpak informatiebeveiliging apotheek (511-2) Inhoudsopgave 1 Inleiding 2 Management samenvatting 3 Beschrijving verbeteractiviteiten 2/5 versie 1.0 – 19 jul 17 1 2 3 4 5 Handboek NEN7510 5.1.1 Plan van aanpak informatiebeveiliging 1 Inleiding 1.1 Achtergrond en aanleiding In [jaar] is een inventarisatie uitgevoerd van de huidige situatie van de informatiebeveiliging. Hierover is op [datum] gerapporteerd in de vorm van het rapport 'Status informatiebeveiliging apotheek'. Hiermee is de status van informatiebeveiliging binnen de apotheek vastgesteld. Dit document bevat een beschrijving van de verbeteracties die op basis van de uitkomsten van de uitgevoerde inventarisatie binnen de apotheek ter hand zullen worden genomen. 1.2 Doelstelling Het opstellen van het plan van aanpak voor informatiebeveiliging is erop gericht een marsroute te definiëren waarlangs op een gestructureerde en gecontroleerde manier verbeteringen met betrekking tot informatiebeveiliging binnen de apotheek kunnen worden gerealiseerd. 1.3 Afbakening De verbeteractiviteiten hebben betrekking op de centraal getroffen beveiligingsmaatregelen binnen de apotheek. Aangezien de verbeteractiviteiten vaak organisatiebreed doorwerken heeft de implementatie hiervan ook gevolgen voor de decentrale onderdelen van de apotheek. De decentrale consequenties (mensdagen, financiën) zijn niet in dit plan van aanpak verdisconteerd. 1.4 Gehanteerde aanpak T oeli cht ing De aanpak van het opstellen van het plan van aanpak voor informatiebeveiliging omvatte de volgende onderdelen: - Opstellen concept plan van aanpak voor informatiebeveiliging; - Vaststellen plan van aanpak voor informatiebeveiliging. O pst el l en con c ept pl an v an a anp a k v oo r inf o rm at ieb ev e il ig ing De uitkomsten van de inventarisatie van de status van informatiebeveiliging en de geformuleerde verbeteractiviteiten zijn vastgelegd in het rapport 'Status informatiebeveiliging apotheek', d.d. [datum]. Het concept plan van aanpak voor informatiebeveiliging is op [datum] afgestemd met de [beherend apotheker]. V ast st el le n p l an v an aa np ak in fo rm ati eb e v eil ig ing Het plan van aanpak voor informatiebeveiliging is op [datum] vastgesteld door de [beherend apotheker]. 1.5 Inhoud plan van aanpak Hoofdstuk 2 bevat de hoofdlijnen van het plan van aanpak informatiebeveiliging in de vorm van een managementsamenvatting. Hoofdstuk 3 beschrijft de verbeteractiviteiten voor informatiebeveiliging. 3/5 versie 1.0 – 19 jul 17 Handboek NEN7510 5.1.1 Plan van aanpak informatiebeveiliging 2 Management samenvatting 2.1 Verbeteractiviteiten Op basis van het oordeel over de status van informatiebeveiliging binnen de apotheek worden in volgorde van prioriteit, de volgende centraal geformuleerde apotheekbrede verbeteractiviteiten gedefinieerd. In hoofdstuk 3 worden deze activiteiten verder uitgewerkt. Nr. Omschrijving 1. 2. 3. 4. 5. 6. N.B. 4/5 … Benodigde Benodigde menscapaciteit financiële (in mensdagen) middelen (in Euro's) … … Totaal … Planning … De bovenstaande consequenties (menscapaciteit en financiën) bevatten alleen inschattingen van de activiteiten. Opgemerkt wordt dat bepaalde financiële consequenties van verbeteractiviteiten pas kunnen worden vastgesteld, wanneer deze concreet zijn gedefinieerd (p.m. posten). versie 1.0 – 19 jul 17 Handboek NEN7510 5.1.1 Plan van aanpak informatiebeveiliging 3 Beschrijving verbeteractiviteiten 3.1 Toelichting Op basis van de status van informatiebeveiliging binnen de apotheek zijn de volgende verbeteractiviteiten geformuleerd: 1. Opzet en invoering security architectuur (voorbeeld) 2. …. 3.2 Activiteit 1: Opzet en invoering security architectuur Opzet en invoering security architectuur Het opzetten van een security architectuur heeft tot doel de vertrouwelijkheid van de (patiënt)gegevens van de apotheek te waarborgen. Onder een security architectuur wordt verstaan een gestructureerde en gedocumenteerde opzet voor de logische toegangsbeveiliging van informatie en informatiesystemen. Betrokkenen [Beheerder] [Medewerkers] Activiteiten Opstellen security architectuur Implementeren technische maatregelen Implementeren organisatorische en procedurele maatregelen Benodigde Model richtlijnen en procedures middelen Model security architectuur Technische middelen (firewall, PKI, VPN, beveiligingsmiddelen mobiele apparatuur, etc.) Benodigde [Beheerder] x mensdagen menscapaciteit [Medewerkers] x mensdagen Totaal (afgerond) x mensdagen Kosten Xxx Euro Planning Xxx Doelstelling 5/5 versie 1.0 – 19 jul 17 Handboek NEN7510 5.1.1 Plan van aanpak informatiebeveiliging
