De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

NEN 7510 SHAPING THE FUTURE Harriëtte van der Sar, DEKRA Certification 13 februari 2104 Slide 1.

GepubliceerdValentin Heinrich Laatst gewijzigd meer dan 5 jaar geleden

Verwante presentaties

Presentatie over: "NEN 7510 SHAPING THE FUTURE Harriëtte van der Sar, DEKRA Certification 13 februari 2104 Slide 1."— Transcript van de presentatie:

1 NEN 7510 SHAPING THE FUTURE Harriëtte van der Sar, DEKRA Certification februari 2104 Slide 1

2 Even voorstellen Harriette van der Sar
Functie: Account manager DEKRA Certification B.V. Verantwoordelijk voor Zorg en Welzijn Voor trainingen, proef- en certificatieaudits voor: HKZ KMS en VMS ISO 9001 NEN-EN (of ISO voor Zorg en Welzijn) NTA 8009 (Cliënt en Patiëntveiligheid) NEN 7510 (Informatiebeveiliging) Slide 2 Slide ‹#› © 2012 DEKRA

3 About DEKRA One of the leading international expert organisations
Headquarters in Stuttgart Active in more than 50 countries Organised into 3 Business Units 15 strategic service lines Revenues < 2 billion Euro Employs approximately staff Seite 3 Slide 3 © 2012 DEKRA Certification Group

4 A deeply rooted challenger culture in quality, safety &
sustainability services founded in Berlin as a registered association 1925 present in workshops: 90% of sales in B2B(2C) 1970 corporate restructuring and realignment 1996 2005 real entry in the industrial inspection business with the acquisition of French Norisko entry in product testing & certification and China with the acquisition of the Dutch KEMA Quality. 2009 strong developments in energy efficiency and sustainability services 2011 approved as a vehicle testing organisation 1960 development of a comprehensive testing network in East Germany 1990 strong push on internationalisation since 1998 1998 entry into energy & process industries w. acquisition of Finnish Polartest 2008 DEKRA operating as a Societas Europaea (SE) 2010 Seite 4 Page 4 Slide 4 © 2012 DEKRA Certification Group

5 Programma Update NEN 7510 norm NEN 7510 in de praktijk
Aandachtsgebieden NEN 7510 norm Vragen

6 Doel van de NEN 7510 norm Doel van NEN 7510: een kader bieden voor het realiseren van adequate informatiebeveiliging, door: - Borgen van de kwaliteitscriteria (kader bieden) Mogelijk maken dat de benodigde informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht (ondersteuning bij implementatie) Onder informatiebeveiliging in de zorg wordt verstaan: - Het waarborgen van de beschikbaarheid van alle informatie - Het waarborgen van de integriteit van alle informatie - Het waarborgen van de vertrouwelijkheid van alle informatie benodigd om patiënten verantwoorde zorg te kunnen bieden

7 Waarom informatiebeveiliging in de zorg?
Steeds meer nadruk op ketenzorg Brief IGZ Goede communicatie tussen zorginstellingen nodig - informatie is van levensbelang (patiëntveiligheid) kwaliteit van de informatie dus ook (juistheid en volledigheid) Conclusies onderzoek IGZ naar informatie uitwisseling (2011): - Grootste risico’s in de zorg bij informatie uitwisseling, ongeacht wel of niet inzet van ICT hierbij - Patiëntgerelateerde informatie is versnipperd opgeslagen (zelfs binnen instellingen) - Ondanks toenemend gebruik van een EPD (Elektronisch Patiënten Dossier) - Dossiers zijn niet actueel - Dossiers zijn niet compleet Bevatten deels informatie die niet relevant is voor de zorgprofessional

8 Context NEN 7510 norm

9 Huidige ontwikkelingen NEN 7510
Afgelopen jaar bleek dat aan de kant van zorgaanbieders en ICT-leveranciers veel vragen leven voor een eenduidig certificatieschema aan het certificatieproces op NEN 7510. NIAZ/NOREA initiatief (Zekere Zorg 3) deze vraag niet beantwoordt. Te specifiek voor AORTA De verzekeraars eisen dat zorgaanbieders ‘iets’ doen op het gebied van NEN Wat dit ‘iets’ betekent, verschilt per zorgverzekeraar. Eind 2013: Projectgroep Certificatieschema NTA 7515 gereed: eisen voor CI’s Inputdocumenten: ISO/IEC 27006, ISO/IEC 17021, verschillende schema’s van CI’s, andere documenten en aansluiting ZZ3

10 Stappenplan invoering NEN 7510 norm
Breng de bedrijfsprocessen in kaart Bepaal de afhankelijkheid van elektronische informatie uitwisseling Inventariseer en analyseer de mogelijke bedreigingen - Risico analyse uitvoeren (kans x impact) Beoordelen op beschikbaarheid, integriteit en vertrouwelijkheid Maak keuze voor de te nemen beveiligingsmaatregelen Leg maatregelen vast in een informatiebeveiligingsplan Implementeer de beveiligingsmaatregelen

11 Risicomanagement Risicomanagement
Risico-analyse, -evaluatie, -behandeling

12 Risicomanagement Welke methode? Restrisico

13 CASE 1: Bedenk een aantal risico’s en te nemen maatregelen.

14 Beheersing ISMS

15 Aandachtsgebieden NEN 7510 norm
Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Structuur van de norm Beveiligingsbeleid Organiseren van informatiebeveiliging Beheer van middelen voor de informatievoorziening Beveiligingseisen t.a.v. personeel Fysieke beveiliging en beveiliging van de omgeving Operationeel beheer van informatie en communicatie voorzieningen Beveiliging toegang tot informatie Aanschaf, ontwikkeling en onderhoud van informatiesystemen. Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïtetsbeheer Naleving

16 5. Beveiligingsbeleid Informatiebeveiligingsbeleid
Beleidsdocument voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid - Evaluatie - Actualisatie

17 CASE 2: Stel een IB beleidsplan op! En wat doe je ermee?

18 6. Organiseren van informatiebeveiliging
Organisatorische infrastructuur - Betrokkenheid directie - Coördinatie van informatiebeveiliging - Toewijzing verantwoordelijkheden Onafhankelijke beoordeling van informatiebeveiliging Beveiliging van toegang door derden - Identificatie van risico’s - Beveiliging in omgang met derden - Beveiliging in overeenkomsten met derden Uitbesteding

19 CASE 3: Geef voor elk onderwerp een voorbeeld uit de eigen organisatie
Betrokkenheid directie Coördinatie van informatiebeveiliging Toewijzing verantwoordelijkheden Onafhankelijke beoordeling van informatiebeveiliging Identificatie van risico’s voor derden Beveiliging in omgang met derden Beveiliging in overeenkomsten met derden Uitbesteding

20 7. Beheer van bedrijfsmiddelen
- Verantwoordelijkheid voor bedrijfsmiddelen - Verantwoordelijken voor bedrijfsmiddelen - Inventarisatie van bedrijfsmiddelen - Aanvaardbaar gebruik van bedrijfsmiddelen Classificatie van informatie - Richtlijnen voor classificatie Labeling en verwerking van informatie

21 CASE 4: Benoem de kritische bedrijfsmiddelen.

22 8. Beveiligingseisen t.a.v. personeel
Voorafgaand aan dienstverband - Rollen en verantwoordelijkheden - Screening - Arbeidsvoorwaarden Tijdens het dienstverband - Directieverantwoordelijkheid - Bewustzijn, opleiding en training t.a.v. informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband - Beëindiging van verantwoordelijkheden - Retourneren van bedrijfsmiddelen Intrekken van toegangsrechten

23 Geef van elk onderwerp een voorbeeld
CASE 5: Geef van elk onderwerp een voorbeeld ONDERWEP VOORBEELD Voorafgaand aan dienstverband Tijdens het dienstverband Beëindiging of wijziging van dienstverband

24 9. Fysieke beveiliging en omgeving
Beveiligde ruimten - Fysieke toegangsbeveiliging - Beveiliging van kantoren, ruimten en faciliteiten - Bescherming tegen bedreigingen van buitenaf - Werken in beveiligde ruimten Beveiliging van apparatuur - Plaatsing en bescherming apparatuur - Bekabeling - Onderhoud van apparatuur - Beveiliging van apparatuur buiten het terrein Verwijdering van bedrijfseigendommen

25 Geef van elk onderwerp een voorbeeld
CASE 6: Geef van elk onderwerp een voorbeeld ONDERWERP VOORBEELD Beveiligde ruimten Beveiliging van apparatuur

26 10. Operationeel beheer info/voorzieningen
Bedieningsprocedures en verantwoordelijkheden - Wijzigingsbeheer Functiescheiding Beheer van dienstverlening door derden Systeemplanning en –acceptatie Bescherming tegen kwaadaardige software en “mobile code” Back-up en herstel Netwerkbeheer Behandeling en beveiliging van opslagmedia

27 CASE 7: Geef een schets van de IT-infrastructuur in de eigen organisatie

28 11. Beveiliging toegang tot informatie
Beleid ten aanzien van toegangsbeveiliging Identificatie en authentificatie - Registratie van gebruikers - Gebruikersidentificatie - Keuze van authentificatiewijze - Beheer van identificatie-/authentificatiesystemen - Gebruik van wachtwoorden en authentificatiemiddelen Autorisatie en toegangscontrole - Management van toegangsrechten/autorisatiebeheer - Toegangsbeveiliging voor netwerken - Toegangsbeveiliging voor besturingssystemen - Toegangsbeveiliging voor toepassingen - Monitoring van toegang en gebruik van systemen - Mobiele computers en telewerken

29 12. Aanschaf, ontwikkeling en onderhoud
Beveiligingseisen voor systemen Beveiliging in toepassingssystemen Cryptografische beveiliging Beveiliging van systeembestanden Beveiliging bij ontwikkel- en ondersteuningsprocessen

30 13. Beheer van informatiebeveiligingsincidenten
Rapportage van informatiebeveiligingsgebeurtenissen Beheer van informatiebeveiligingsincidenten en –verbeteringen Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal

31 14. Bedrijfscontinuïteitsbeheer
Ontwikkelen en implementeren bedrijfscontinuïteit Bedrijfscontinuïteitplannen opstellen Bedrijfscontinuïteitplannen testen, onderhouden en herbeoordelen Verantwoordelijken

32 CASE 8: Geef aan wat er in geval van een brand binnen de eigen organisatie gebeurd.

33 15. Naleving Wettelijke voorschriften
Identificatie van toepasselijke wetgeving Intellectuele eigendom Bescherming van persoonsgegevens Beveiliging van bedrijfsdocumenten Voorkomen van misbruik Naleving van beveiligingsbeleid en –normen Doeltreffendheid audits

34 Stappenplan invoering NEN 7510 norm
Breng de bedrijfsprocessen in kaart Bepaal de afhankelijkheid van elektronische informatie uitwisseling Inventariseer en analyseer de mogelijke bedreigingen - Risico analyse uitvoeren (kans x impact) Beoordelen op beschikbaarheid, integriteit en vertrouwelijkheid Maak keuze voor de te nemen beveiligingsmaatregelen Leg maatregelen vast in een informatiebeveiligingsplan Implementeer de beveiligingsmaatregelen BEWUSTWORDING, BEWUSTWORDING EN BEWUSTWORDING

35 NEN 7510 in de praktijk, een voorbeeld
ISO (ISO 17021) In combinatie met HKZ: aandachtspunten voor de HKZ auditor, die de woningen en paviljoens gaat bezoeken Alle punten moeten wel een paar keer aan de orde gekomen zijn. 1. Is de werkplek van de teamleider, waar de PC staat, afsluitbaar (apart kamertje)? 2. Was het kamertje bij aankomst ook werkelijk afgesloten? 3. Zijn er in de woning papieren (deel)dossiers van de cliënten? 4. Is iedereen in het team bekend met de sleutelprocedure? 5. Doe een fysieke controle op de IT infrastructuur: 6. bespreek met de teamleider de gevolgen van uitval van IT, zijn er maatregelen genomen? 7. Bij  woningen die niet op een terrein van klant staan: is er iets geregeld t.a.v. contact met lokale overheden (wijkagent, brandweer, maar ook buurtpreventie); 8. Is de teamleider betrokken geweest bij de identificatie van beveiligingsrisico’s, specifiek voor “zijn” woning? 9. De teamleider werkt op de PC met een applicatie, waarin de gegevens van de cliënten zitten; Wie heeft er binnen de woning toegang tot deze applicatie? 10. Welke richtlijnen zijn er voor het toelaten van “derden” tot de woning

36 NEN 7510 in de praktijk Auditdagen op basis van NTA 7515
Training normkennis NEN dag in Arnhem à € 595,00 (excl BTW) per deelnemer Proefaudit: Voorafgaand aan de certificatie-audit kunt u een proefaudit laten uitvoeren. De aanpak is hetzelfde als bij normale audits en heeft de volgende voordelen: - u bepaalt zelf het onderwerp van de proefaudit; - u krijgt snel inzicht in de status van het systeem en de mate van certificeerbaarheid; - de eerste kennismaking met een externe audit stimuleert betrokkenheid van medewerkers. 1 dag op lokatie à € 1.290,00 (excl BTW) FASE 0/1: Beoordeling documenten; Beoordeling risico-analyse; FASE 2 Werking van het managementsysteem in de praktijk middels JAARLIJKSE VERVOLGAUDIT Werking van het managementsysteem in de praktijk middel op basis van het auditplan. Auditdagen op basis van NTA 7515

37 VRAGEN ? 37

38 Voor meer informatie DEKRA Certification B.V.
Naam : Harriette van der Sar Functie : Account manager Telefoon : E-ma il : Website : DEKRA biedt naast een breed scala aan onafhankelijke auditing- en certificeringsdiensten, ook training en management workshops voor zorg en welzijn. Het DEKRA certificaat voorziet in de behoefte om goede zorg zichtbaar te maken en de kwaliteit van de zorgverlening steeds verder te verbeteren. Met een DEKRA certificaat in huis blijft u het beste uit uw organisatie halen.

39 Bedankt voor uw aandacht!
Slide 39

Download ppt "NEN 7510 SHAPING THE FUTURE Harriëtte van der Sar, DEKRA Certification 13 februari 2104 Slide 1."

Verwante presentaties

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
de manier waarop een bedrijf onderweg wil zijn

de manier waarop een bedrijf onderweg wil zijn
NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012

NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012
Kwaliteitshandboek CLB Genk-Maasland.

Kwaliteitshandboek CLB Genk-Maasland.
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Workshop AO binnen de bestaande structuur

Workshop AO binnen de bestaande structuur
Dé complete online werkplek met de kracht van Office 365

Dé complete online werkplek met de kracht van Office 365
Hoofdstuk 4 Globale structuur van een project

Hoofdstuk 4 Globale structuur van een project
Motivatie van de professional Willy Limpens

Motivatie van de professional Willy Limpens
Doel informatievergadering

Doel informatievergadering
EVALUATIE & PLANNING Ondersteuning kwaliteitshandboek IBO/KDV

EVALUATIE & PLANNING Ondersteuning kwaliteitshandboek IBO/KDV
1.3 Kwaliteitsborging.

1.3 Kwaliteitsborging.
OHSAS 18001- certificatie Frans Stuyt 24 september 2009.

OHSAS certificatie Frans Stuyt 24 september 2009.
Ir.drs. A. van der Star MSHE UMC Groningen

Ir.drs. A. van der Star MSHE UMC Groningen
© Kars cum suis bv Benchmarking publiekszaken Workshop Procesmanagement 7 februari 2007.

© Kars cum suis bv Benchmarking publiekszaken Workshop Procesmanagement 7 februari 2007.
Prospectieve Risico Inventarisatie

Prospectieve Risico Inventarisatie
© L.A.F.M. Kerklaan HCG 1 16 november 2001Juridisch bibliothecarissen Het managen van de juridische bibliotheek Het kwaliteitshandboek als praktisch instrument.

© L.A.F.M. Kerklaan HCG 1 16 november 2001Juridisch bibliothecarissen Het managen van de juridische bibliotheek Het kwaliteitshandboek als praktisch instrument.
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning

Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
© de vries business consultancy, 2008

© de vries business consultancy, 2008
Introductie OHSAS 18001.

Introductie OHSAS

Verwante presentaties

Ads door Google