ISO 27001 / NEN 7510

Wat houdt de norm in?

Zowel de ISO 27001 als de NEN 7510 is een norm die is gericht in het beveiligen van informatie. 
Beide normen bestaan uit 2 onderdelen:

  1. Het eerste onderdeel van norm gaat over het inrichten van het Information Security Management Systeem (ISMS). In feite wordt in dit onderdeel voorgeschreven aan welke eisen de Plan-Do-Check-Act-cyclus rondom het beveiligen van verwerkte gegevens moet voldoen. 
    Belangrijke elementen in dit onderdeel zijn:
    a)    De context en stakeholders van de organisatie vaststellen.
    b)    Vaststellen van het informatiebeveiligingsbeleid.
    c)    Het bepalen van (informatiebeveiligings)doelstellingen.
    d)    Het vaststellen en wegen van de risico’s, het selecteren van beheersmaatregelen die de risico’s inperken (zie ook punt 2!), het opstellen van een risicobehandelplan en het uitvoeren van dat plan.
    e)    Het vaststellen van de benodigde middelen en kennis.
    f)    Het plannen en uitvoeren van interne audits, inclusief het opvolgen van bevindingen.
    g)    Het uitvoeren van een directiebeoordeling waarbij het gehele ISMS wordt geëvalueerd en waar nodig wordt bijgesteld.
  2. Het tweede onderdeel uit de norm is de Bijlage A (in de Engelstalige norm de Annex A genoemd). De Annex A wordt vaak geïnterpreteerd als zijnde “de” checklist voor ISO 27001 implementaties. Tot op zekere hoogte klopt dat, maar het is belangrijk om te beseffen dat de norm voorschrijft EERST een risicoanalyse uit te voeren en maatregelen te selecteren (zie punt 1.d) en DAARNA “de beheersmaatregelen die zijn vastgesteld te vergelijken met die in bijlage A, en om te verifiëren dat geen noodzakelijke beheersmaatregelen zijn weggelaten“. 
    De Annex A van de NEN 7510 is uitgebreider dan die van ISO 27001, omdat deze is uitgebreid met een aantal zorgspecifieke beheersmaatregelen.

Voor wie is ISO 27001 / NEN 7510 bedoeld?

ISO 27001 is toepasbaar binnen elke bedrijfstak. Iedere organisatie waar gegevens worden verwerkt kan zich laten certificeren voor ISO 27001. Het maakt daarbij niet uit of er 1 of 10.000 fte werkt binnen de organisatie. 
NEN 7510 is een doorvertaling van ISO 27001 specifiek voor de zorg. De norm is dus bedoeld voor zorginstellingen en voor organisaties die namens die instellingen “persoonlijke gezondheidsinformatie" verwerken.

Zo werkt CIIO

CIIO zet teams van bevlogen beoordelaars in, die veel ervaring hebben in de kennisintensieve dienstverlening als medewerker, manager, adviseur en auditor. Voor het eerste onderzoek vindt altijd een persoonlijk kennismakingsgesprek plaats met degene die het onderzoek gaat uitvoeren. Alle afspraken worden vastgelegd in een vrijblijvende offerte. Voor het onderzoek komen we een gedetailleerde planning overeen. Tijdens het onderzoek wordt u op de hoogte gehouden van de vorderingen. Aan het eind van het onderzoek koppelt de beoordelaar zijn of haar bevindingen direct mondeling terug, onderbouwt deze en beantwoordt eventuele vragen. Binnen twee weken ontvangt u een beknopt verslag.

 

Toetsingsschema

ISO 27001 / NEN 7510

Schema eigenaar

NEN

Doelgroep

Organisaties die informatie verwerken

Bijzonderheid

Positieve beoordeling geeft recht op een ISO 27001 en/of NEN 7510-certificaat

Toetsing

Eerste onderzoek in 2 delen, een certificaat is drie jaar geldig. Jaarlijks vindt een tussentijdse beoordeling plaats. Wanneer de geldigheidstermijn van drie jaar verstrijkt, wordt een vervolgonderzoek gehouden.

Combinatie

Met Maatstaf 2016, NVZ Auditkader Gedragslijn Toegangsbeveiliging digitale patiëntdossiers, MedMij normenkader informatiebeveiliging  

 

Meer weten over deze toetsing? Neem contact op via info@ciio.nl.