NEN 7510:2024 snelle upgrade
NEN7510:2024, snelle upgrade
De norm NEN 7510 (informatiebeveiliging voor de zorg) is vernieuwd: NEN 7510:2024.
Per 20 februari 2027 vervallen de certificaten gebaseerd op NEN 7510:2017. Voor een nieuw certificaat moet op z'n minst een upgrade audit worden uitgevoerd door de certificerende instelling. En die hebben het straks druk, mede door een tekort aan (goede) auditors.
Nu onze aanpak.
We zetten snel (< 1,5 minuut) een compleet managementsysteem klaar. Daarin komt een zg. control framework (PDCA en alle beheersmaatregelen) volgens NEN 7510:2024. Met dit workflow ondersteunde framework worden alle verplichte upgrade stappen uitgevoerd:
Stap 1
GapFit analyse. Daar hebben we het control framework voor.
Stap 2
Nieuw maatregelen implementeren. Uitleg in het control framework.
Stap 3
Voer een interne audit uit, met name gericht op de nieuwe maatregelen. Templates staan op het platform, zonodig uit te breiden tot een audit eco-systeem.
Stap 4
Leg bevindingen en conclusies vast in de management review. Ook hier is een (workflow ondersteunde template voor)
Voorbeelden - vragen
Een voorbeeld van een ISMS - Information Security Management System genoemd of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510. Voor inhoudelijke vragen: bel ons even.
Hieronder staat nog een overzicht (checklist) van de verschillen, aandachtspunten dan wel uitbreidingen NEN 7510:2024 deel II versus ISO 27001:2022 Annex A.
| |
NEN 7510:2024 deel II |
Beheersmaatregelen
|
Onderdeel
|
| - Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid, goedgekeurd door hoogste management en minimaal 1x per jaar of na een ernstig incident |
II - 5.1 |
| - Tenminste één persoon moet verantwoordelijk zijn voor informatiebeveiliging |
II - 5.2 |
| - Taken en verantwoordelijkheden moeten worden gescheiden, indien haalbaar |
II - 5.3 |
|
- Ook informatiestromen en interfaces moeten worden geïnventariseerd, intern en extern
|
II - 5.9 |
| - Beleid voor retourneren van bedrijfsmiddelen moet er zijn inclusief een schriftelijke bevestiging (geretourneerd of verwijderd) |
II - 5.11 |
| - Classificatie van informatie: persoonlijke gezondheidsinformatie = vertrouwelijk |
II - 5.12 |
| - Vóórdat informatie wordt overgedragen moeten regels / procedures / overeenkomsten zijn geïmplementeerd |
II - 5.14 |
| - Toegangsbeleid voor persoonlijke gezondheidsinformatie moet beschikbaar zijn, rolgebaseerd |
II - 5.15 |
| - Toegang tot persoonlijke gezondheidsinformatie moet volgens een formele gebruikersregistratie |
II - 5.16 |
| - Risico's omtrent toegang externe partijen moeten worden geïdentificeerd, beoordeeld en maatregelen moeten zonodig worden genomen |
II - 5.19 |
| - Informatiebeveiligingseisen moeten worden geanalyseerd en gespecificeerd |
II - 5.38 |
| - Zorgontvangers moeten op unieke wijze zijn te identificeren |
II - 5.39 |
| - Getoonde, geprinte gegevens moeten zijn te valideren |
II - 5.40 |
| - Openbare gezondheidsinformatie: archiveren, integriteit beschermen en bron vermelden |
II - 5.41 |
| - Noodcommunicatiekanalen binnen een gezondheidsorganisatie: plannen, implementeren, onderhouden en beproeven |
II - 5.42 |
| - Informatiebeveiligingsincidenten moeten worden gemeld, conform wet- en regelgeving |
II - 5.43 |
| - In functieomschrijvingen rollen en verantwoordelijkheden vastleggen irt persoonlijke gezondheidsinformatie |
II - 6.2 |
| - Formeel de vertrouwelijkheid van informatie in stand houden |
II - 6.6 |
| - Versleutelen persoonlijke gezondheidsinformatie op verwijderbare media |
II - 7.10 |
| - 2FA (tweefactorauthenticatie) voor systemen met persoonlijke gezondheidsinformatie |
II - 8.5 |
| - Backups met persoonlijke gezondheidsinformatie versleutelen |
II - 8.13 |
| - Zero trust beginselen toepassen |
II - 8.35 |
|
|
|
Zie onze demo ISMS NEN 7510 voor meer informatie.
|
|
Gratis Live
QuickScan