Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

Alle ISO 27001, NEN 7510 artikelen

 

BIG BIG verwijst naar het desbetreffende artikel van de standaard ontwikkeld door het VNG
CP / ISO Verwijst naar het Handboek ISO 27001 / NEN 7510 ontwikkeld door CP

 

ISO/NEN BIG Exacte omschrijving van de artikelen CP/ISO
A.05   Informatiebeveiligingsbeleid  
A.05.1   Aansturing door de directie van de informatiebeveiliging

Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
 
A.05.1.1 Geen BIG Beleidsregels voor informatiebeveiliging

ISO:
Ten behoeve van informatiebeveiliging moet een reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. 

NEN:
Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid dat door het management wordt goedgekeurd, wordt gepubliceerd en vervolgens wordt gecommuniceerd aan alle werknemers en relevante externe partijen
1.4
1.4.1
1.4.2
A.05.1.2 Geen BIG Beoordeling van het informatiebeveiligingsbeleid

ISO:
Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld.
1.4.2
       
A.06   Organiseren van informatiebeveiliging  
A.06.1   Interne organisatie

Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.
 
A.06.1.1 08.1.1.2 Rollen en verantwoordelijkheden

ISO:
Alle verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen.

BIG:
Het personeel van de verwerker of derden moeten kennis hebben van de verantwoordelijkheden ten aanzien van de bewerking van de persoonsgegevens voor de verwerkingsverantwoordelijke.

NEN:
Organisaties moeten: duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging definiëren en toewijzen over een informatiebeveiligingsmanagementforum (IBMF) beschikken om te garanderen dat er duidelijke aansturing en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheidsinformatie, zoals beschreven in B3 en B4 van bijlage B (6.1.1) in NEN 7510-2. Er moet minimaal één individu verantwoordelijk zijn voor beveiliging van gezondheidsinformatie binnen de organisatie. Het gezondheidsinformatiebeveiligingsforum moet regelmatig, maandelijks of bijna maandelijks, vergaderen. (Het is meestal het effectiefst als het forum vergadert op een tijdstip halverwege tussen twee vergaderingen van het bestuursorgaan waaraan het forum rapporteert. Zo kunnen urgente zaken binnen een korte periode in een geschikte vergadering worden besproken.) Er moet een formele verklaring van het
toepassingsgebied worden geproduceerd waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen.
3
m.n. 3.2
A.06.1.2 Geen BIG Scheiding van taken

ISO:
Conflicterende taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.

NEN:
Organisaties moeten, indien dit haalbaar is, plichten en verantwoordelijkheidsgebieden scheiden teneinde de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheidsinformatie.
3
m.n. 3.2
A.06.1.3 Geen BIG Contact met overheidsinstanties

ISO:
Er moeten passende contacten met relevante overheidsinstanties worden onderhouden.
1.6.2
A.06.1.4 Geen BIG Contact met speciale belangengroepen

ISO:
Er moeten passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en professionele organisaties worden onderhouden.  
1.6.3
A.06.1.5 Geen BIG Informatiebeveiliging in projectbeheer

ISO:
Informatiebeveiliging moet aan de orde komen in projectbeheer, ongeacht het soort project.

NEN:
Bij het management van projecten moet de patiëntveiligheid als projectrisico in aanmerking worden genomen voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie.
1.4.3
A.06.2   Mobiele apparatuur en telewerken

Doelstelling: Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur.
 
A.06.2.1 Geen BIG Beleid voor mobiele apparatuur

ISO:
Beleid en ondersteunende beveiligingsmaatregelen moeten worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt, te beheren.
6.2
A.06.2.2 Geen BIG Telewerken

ISO:
Beleid en ondersteunende beveiligingsmaatregelen moeten worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt bereikt, verwerkt of opgeslagen.
3.1.3
A.07   Veilig personeel  
A.07.1   Voorafgaand aan het dienstverband

Doelstelling: Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en
geschikt zijn voor de functies waarvoor zij in aanmerking komen.
 
A.07.1.1 08.1.2.1 Screening

ISO:
Verificatie van de achtergrond van alle kandidaten voor een dienstverband moet worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de vastgestelde risico’s.

BIG:
Voor personen is een recente Verklaring Omtrent het Gedrag (VOG) vereist met punten die door de verwerkingsverantwoordelijke zijn aangedragen. Tenzij dit centraal in het contract geregeld is.

NEN:
Organisaties moeten minimaal de identiteit, het huidige adres en de vorige werkkring van personeel en contractanten en vrijwilligers op het moment van de sollicitatie verifiëren. Verificatiecontroles van de achtergrond van alle kandidaten voor een dienstverband moeten een verificatie omvatten van de toepasselijke kwalificaties voor zorgverleners, indien er sprake is van accreditatie voor de beroepsgroep op basis van die kwalificaties (bijv. artsen, verplegend personeel enz.). Als een persoon wordt ingehuurd voor een specifieke beveiligingsfunctie, moet de organisatie zich ervan vergewissen dat:  de kandidaat over de nodige competentie beschikt om de beveiligingsfunctie te vervullen; de functie de kandidaat toevertrouwd kan worden, in het bijzonder als de functie cruciaal is voor de organisatie.  
3
A.07.1.2 06.1.5.1 Arbeidsvoorwaarden

ISO:
De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie vermelden.en worden vastgesteld, regelmatig worden beoordeeld en gedocumenteerd.

BIG:
Medewerkers die te maken hebben met persoonsinformatie van de verwerkingsverantwoordelijke dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding

NEN:
Alle organisaties waarvan personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, moeten die betrokkenheid in relevante functieomschrijvingen vastleggen. Beveiligingsrollen en verantwoordelijkheden, zoals vastgelegd in het informatiebeveiligingsbeleid van de organisatie, moeten ook in relevante functieomschrijvingen worden vastgelegd. Er moet speciale aandacht worden besteed aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband zoals vervangers, studenten, stagiairs enz.
3
m.n. 3.1.2
A.07.2   Tijdens het dienstverband

Doelstelling: Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
 
A.07.2.1 Geen BIG Directieverantwoordelijkheden

ISO:
De directie moet van alle medewerkers en contractanten eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.
3.1.1
m.n. punt 4B
A.07.2.2 08.2.2.1 Bewustzijn, opleiding en training ten aanzien van 
informatiebeveiliging

ISO:
Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en -procedures van de organisatie worden verstrekt aan alle werknemers en, indien relevant, derde-contractanten, onderzoekers, studenten en vrijwilligers die persoonlijke gezondheidsinformatie verwerken. Werknemers van de organisatie en, waar relevant, derdecontractanten moeten worden gewezen op disciplinaire processen en gevolgen met betrekking tot schendingen van informatiebeveiliging.
3.4.1
A.07.2.3 Geen BIG Disciplinaire procedure

Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.
3.4.2
A.07.3   Beëindiging en wijziging van dienstverband

Doelstelling: Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.
 
A.07.3.1 Geen BIG Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband moeten worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer worden gebracht.  
3.2.1
3.4.2
3.5
A.08   Beheer van bedrijfsmiddelen  
A.08.1   Verantwoordelijkheid voor bedrijfsmiddelen

Doelstelling: Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter bescherming definiëren.
 
A.08.1.1   Inventarisatie van bedrijfsmiddelen

ISO:
Informatie, andere bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze bedrijfsmiddelen moet een inventaris worden opgesteld en onderhouden.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten: verantwoording afleggen over informatiebedrijfsmiddelen (d.w.z. een inventaris bijhouden van dergelijke bedrijfsmiddelen);
een eigenaar hebben aangewezen voor deze informatiebedrijfsmiddelen (zie 8.1.2); regels hebben voor het aanvaardbare gebruik van deze bedrijfsmiddelen die geïdentificeerd, gedocumenteerd en geïmplementeerd worden.   
6
A.08.1.2 Geen Big Eigendom van bedrijfsmiddelen

ISO:
Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, moeten een eigenaar hebben
6
A.08.1.3 Geen BIG Aanvaardbaar gebruik van bedrijfsmiddelen

ISO:
Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten, moeten regels worden geïdentificeerd, gedocumenteerd en geïmplementeerd.  
6
A.08.1.4 Geen BIG Teruggeven van bedrijfsmiddelen

ISO:
Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben, bij beëindiging van hun dienstverband, contract of overeenkomst teruggeven.

NEN
Alle werknemers en contractanten moeten, na beëindiging van hun dienstverband, alle persoonlijke gezondheidsinformatie in niet-elektronische vorm die zij in hun bezit hebben, teruggeven en erop toezien dat alle persoonlijke gezondheidsinformatie in elektronische vorm die zij in hun bezit hebben, op relevante systemen wordt bijgewerkt en vervolgens op beveiligde wijze wordt gewist van alle apparaten waarop deze aanwezig was.   
6.2
A.08.2   Informatieclassificatie  
A.08.2.1 07.2.2.1 Classificatie van informatie

ISO:
Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.

BIG:
De verwerker heeft maatregelen genomen zo dat niet geautoriseerden geen kennis kunnen nemen van persoonsgegevens.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten dergelijke gegevens op uniforme wijze als vertrouwelijk classificeren.  
4.1.2
A.08.2.2 07.2.2.1 Informatie labelen

ISO:
Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

BIG:
Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en de verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.

De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie.


NEN:
Alle gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de gebruikers wijzen op de vertrouwelijkheid van persoonlijke gezondheidsinformatie die toegankelijk is vanaf het systeem (bijv. bij het opstarten of inloggen), en moeten papieren output als vertrouwelijk labelen als die output persoonlijke gezondheidsinformatie bevat.  
4.1.2
A.08.2.3 Geen BIG Behandelen van bedrijfsmiddelen

ISO:
Procedures voor het behandelen van bedrijfsmiddelen moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. 
6.2
A.08.3   Behandelen van media

Doelstelling: Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op media is opgeslagen voorkomen.
 
A.08.3.1 10.7.1.1 Beheer van verwijderbare media

ISO:
Voor het beheren van verwijderbare media moeten procedures worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld.

NEN:
Media die persoonlijke gezondheidsinformatie bevatten moeten fysiek worden beschermd of de gegevens ervan moeten versleuteld worden. De status en locatie van media die niet-versleutelde persoonlijke 
gezondheidsinformatie bevatten, moeten gemonitord worden.  
5.2.3
A.08.3.2 10.7.2.1 Verwijdering van media

ISO:
Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.

NEN:
Alle persoonlijke gezondheidsinformatie moet veilig worden gewist of anders moeten de media worden vernietigd als ze niet meer gebruikt hoeven te worden.
5.2.3
A.08.3.3 10.8.3.1 Fysieke media die worden getransporteerd

ISO:
Media die informatie bevatten, moeten worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport.
5.2.4 7.A.13
A.09   Toegangsbeveiliging  
A.09.1   Bedrijfseisen voor toegangsbeveiliging

Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.
 
A.09.1.1 Geen BIG Beleid voor toegangsbeveiliging

ISO:
Het beleid voor informatiebeveiliging moet met geplande tussenpozen of als zich significante veranderingen voordoen, worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

NEN:
Het informatiebeveiligingsbeleid moet aan voortdurende, gefaseerde beoordelingen worden onderworpen zodat het volledige beleid ten minste eenmaal per jaar wordt beoordeeld. Het beleid moet worden beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan.  
5.1
A.09.1.2 10.6.1.2 Toegang tot netwerken en netwerkdiensten

ISO:
Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.  

BIG:
Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
7.A.09.1.2
A.09.2   Beheer van toegangsrechten van gebruikers

Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en
diensten voorkomen.
 
A.09.2.1 08.3.3.1 Registratie en uitschrijving van gebruikers

ISO:
Een formele registratie- en uitschrijvingsprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

NEN:
De toegang tot gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moet onderhevig zijn aan een formeel gebruikersregistratieproces. Procedures voor het registreren van gebruikers moeten garanderen dat het vereiste niveau van authenticatie van de geclaimde identiteit van gebruikers overeenkomt met het (de) toegangsniveau(s) waarover de gebruiker zal gaan beschikken. De gebruikersregistratiegegevens moeten regelmatig worden beoordeeld om te garanderen dat ze volledig en juist zijn en dat toegang nog altijd vereist is.
5.1
A.09.2.2 08.3.3.1 Gebruikers toegang verlenen

ISO:
Een formele gebruikerstoegangsverleningsprocedure moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. 
5.1
A.09.2.3 08.3.3.1 Beheren van speciale toegangsrechten

ISO:
Het toewijzen en gebruik van bevoorrechte toegangsrechten moeten worden beperkt en gecontroleerd.
5.1
A.09.2.4 08.3.3.1 Beheer van geheime authenticatie-informatie van gebruikers

ISO:
Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel beheersproces.  
5.1
A.09.2.5 11.2.4.1 Beoordeling van toegangsrechten van gebruikers

ISO:
Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen.
5.1
A.09.2.6 Geen BIG Toegangsrechten intrekken of aanpassen

ISO:
De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten moeten bij beëindiging van hun dienstverband, contract of overeenkomst worden verwijderd, en bij wijzigingen moeten ze worden aangepast.

NEN:
Alle organisaties die persoonlijke gezondheidsinformatie verwerken moeten voor elke vertrekkende afdelings- of tijdelijke medewerker, derde-contractant of vrijwilliger zo snel mogelijk na beëindiging van het dienstverband of de werkzaamheden als contractant of vrijwilliger de toegangsrechten als gebruikers tot dergelijke informatie beëindigen.  
5.1
A.09.3   Gebruikersverantwoordelijkheden

Doelstelling: Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie.
 
A.09.3.1 Geen BIG Geheime authenticatie-informatie gebruiken

ISO:
Van gebruikers moet worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.
5.1
A.09.4   Toegangsbeveiliging van systeem en toepassing

Doelstelling: Onbevoegde toegang tot systemen en toepassingen voorkomen.
 
A.09.4.1 Geen BIG Beperking toegang tot informatie

ISO:
Toegang tot informatie en systeemfuncties van applicaties moet worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.

NEN:
Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de identiteit van gebruikers vaststellen en dit moet worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.
De toegang tot functies van informatie- en toepassingssystemen in verband met het verwerken van persoonlijke gezondheidsinformatie moet geïsoleerd (en gescheiden) worden van de toegang tot informatieverwerkingsinfrastructuur die geen verband houdt met het verwerken van persoonlijke gezondheidsinformatie.  
5.1
A.09.4.2 11.5.1.1
11.5.1.4
11.5.1.5
Beveiligde inlogprocedures

ISO:
Indien het beleid voor toegangsbeveiliging dit vereist, moet toegang tot systemen en toepassingen worden beheerst door een beveiligde inlogprocedure.  Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.  Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem. Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten.
5.6
A.09.4.3 11.5.3.1 Systemen voor wachtwoordbeheer

ISO:
Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen.
Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden, regelmatige wijziging, directe wijziging van initieel wachtwoord).   
5.6.1
A.09.4.4 11.5.4.1 Gebruik van systeemhulpmiddelen

ISO:
Het gebruik van systeemhulpmiddelen die in staat zijn om en voor systemen en toepassingen te omzeilen, moet worden beperkt en nauwkeurig worden gecontroleerd.
5.3.3
A.09.4.5 Geen BIG Toegangsbeveiliging op programmabroncode

ISO:
Toegang tot de programmabroncode moet worden beperkt.
4.4
m.n. punt 10
A.10   Cryptografie  
A.10.1   Cryptografische beheersmaatregelen

Doelstelling: Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid,
authenticiteit en/of integriteit van informatie te beschermen.
 
A.10.1.1 15.1.6.1 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

ISO:
Ter bescherming van informatie moet een beleid voor het gebruik van cryptografische en worden ontwikkeld en geïmplementeerd.
Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3.
5.3.2
A.10.1.2 12.3.2.1 Sleutelbeheer

ISO:
Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels moet tijdens hun gehele levenscyclus een beleid worden ontwikkeld en geïmplementeerd.
In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden. 
5.3.2
A.11   Fysieke beveiliging en beveiliging van de omgeving  
A.11.1   Beveiligde gebieden

Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en
informatieverwerkende faciliteiten van de organisatie voorkomen.
 
A.11.1.1 09.1.2.1 Fysieke beveiligingszone

ISO:
Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten gebruikmaken van beveiligde zones om gebieden te beschermen die informatieverwerkingsfaciliteiten bevatten die dergelijke gezondheidstoepassingen ondersteunen. Deze beveiligde gebieden moeten worden beschermd door passende en voor de fysieke toegang om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
7.A.11
A.11.1.2 09.1.2.1 Fysieke toegangsbeveiliging

ISO:
Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.
7.A.11
A.11.1.3 09.1.3.1 Kantoren, ruimten en faciliteiten beveiligen

ISO:
Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast.
7.A.11
A.11.1.4 Geen BIG Beschermen tegen bedreigingen van buitenaf

ISO:
Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast.
7.A.11
A.11.1.5 Geen BIG Werken in beveiligde gebieden

Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast.
7.A.11
A.11.1.6 Geen BIG Laad- en loslocatie

ISO:
oegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden.
7.A.11
A.11.2   Apparatuur

Doelstelling: Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering van de organisatie voorkomen.
 
A.11.2.1 Geen BIG Plaatsing en bescherming van apparatuur

ISO:
Apparatuur moet zo worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.
7.A.11
A.11.2.2 Geen BIG Nutsvoorzieningen

ISO:
Apparatuur moet worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.
7.A.11
A.11.2.3 Geen BIG Beveiliging van bekabeling

ISO:
Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade
7.A.11
A.11.2.4 Geen BIG Onderhoud van apparatuur

ISO:
Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.
6
A.11.2.5 09.2.7.1 Verwijdering van bedrijfseigendommen

ISO:
Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring.

NEN:
Organisaties die uitrusting, gegevens of software voor het ondersteunen van een zorgtoepassing met persoonlijke gezondheidsinformatie leveren of gebruiken, mogen niet toestaan dat die uitrusting, gegevens of software van de locatie wordt of worden verwijderd of er binnen wordt of worden verplaatst zonder dat de organisatie hiervoor haar goedkeuring heeft gegeven.
5.2.4
7.A.11.2.5
A.11.2.6 Geen BIG Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

ISO:
Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat het eventuele gebruik buiten hun gebouw van medische apparaten die worden gebruikt om gegevens te registreren of te rapporteren, geautoriseerd is. Dit moet apparatuur omvatten die door werknemers op afstand wordt gebruikt, zelfs indien dit gebruik permanent is (d.w.z. waar het een kernaspect is van de rol van de werknemer, zoals het geval is bij ambulancepersoneel, therapeuten enz.)
7.A.11
A.11.2.7 09.2.6.1 Veilig verwijderen en hergebruiken van apparatuur

ISO:
Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. Bij beëindiging van het gebruik, of bij een defect, van apparaten en informatiedragers wordt zorggedragen voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen van gegevensdragers met persoonsgegevens van de verantwoordelijke wordt geregistreerd.

NEN:
Organisaties die gezondheidsinformatie verwerken, moeten alle media met toepassingssoftware voor gezondheidsinformatie of persoonlijke  
gezondheidsinformatie erop veilig wissen of vernietigen als ze niet meer gebruikt hoeven te worden.
6
A.11.2.8 11.3.2.1 Onbeheerde gebruikersapparatuur

ISO:
Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. "De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook: 11.5.5) 



"
7.A.11
A.11.2.9 11.3.3.1 ‘Clear desk’- en ‘clear screen’- beleid

ISO:
Er moet een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatieverwerkende faciliteiten worden ingesteld. In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). 
7.A.11.2.9
A.12   Beveiliging bedrijfsvoering  
A.12.1   Bedieningsprocedures en verantwoordelijkheden

Doelstelling: Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
 
A.12.1.1 10.1.1.1 Gedocumenteerde bedieningsprocedures

ISO:
Bedieningsprocedures moeten worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben.
5.1
A.12.1.2 Geen BIG Wijzigingsbeheer

ISO:
Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging, moeten worden beheerst.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de veranderingen aan informatieverwerkingsfaciliteiten en systemen die persoonlijke gezondheidsinformatie verwerken, door middel van een formeel en gestructureerd wijzigingsbeheersproces beheersen om de gepaste beheersing van host-toepassingen en -systemen en de continuïteit van de cliëntenzorg te garanderen.
2
4
5
A.12.1.3 10.3.1.1 Capaciteitsbeheer

ISO:
Het gebruik van middelen moet worden gemonitord en afgestemd, en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.
5.3.4
A.12.1.4 Geen BIG Scheiding van ontwikkel-, test- en productieomgevingen

ISO:
Ontwikkel-, test- en productieomgevingen moeten worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten ontwikkel- en testomgevingen voor gezondheidsinformatiesystemen die dergelijke informatie verwerken (fysiek of virtueel) scheiden van operationele omgevingen waar die gezondheidsinformatiesystemen gehost worden. Er moeten regels voor het migreren van software van de ontwikkel- naar een operationele status worden gedefinieerd en gedocumenteerd door de organisatie die de betroffen toepassing(en) host.
4.4
A.12.2   Bescherming tegen malware

Doelstelling: Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware.
 
A.12.2.1 10.6.1.2 Beheersmaatregelen tegen malware

ISO:
Ter bescherming tegen malware moeten en voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.

BIG
Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.


NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten gepaste preventie-, detectie- en responsen implementeren om bescherming te bieden tegen kwaadaardige software, en passende bewustzijnstraining voor gebruikers implementeren.
2.punt E
3.1.2 punt B
6.0 punt 3
A.12.3   Back-up

Doelstelling: Beschermen tegen het verlies van gegevens.
 
A.12.3.1 Geen BIG Back-up van informatie

ISO:
Regelmatig moeten back-up kopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten back-ups maken van alle persoonlijke gezondheidsinformatie en deze in een fysiek beveiligde omgeving opslaan om te garanderen dat de informatie in de toekomst beschikbaar is.
Om de vertrouwelijkheid ervan te beschermen moeten er versleutelde back-ups worden gemaakt van persoonlijke gezondheidsinformatie.
5.2
A.12.4   Verslaglegging en monitoren

Doelstelling: Gebeurtenissen vastleggen en bewijs verzamelen.
 
A.12.4.1 10.10.1.2 Gebeurtenissen registreren

ISO:
Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld.
5.2
m.n. 5.2.2
A.12.4.2 10.10.3.3 Bescherming van informatie in logbestanden

ISO:
Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen vervalsing en onbevoegde toegang.

NEN:
Auditverslagen moeten beveiligd zijn en niet gemanipuleerd kunnen worden. De toegang tot hulpmiddelen voor audits van systemen en audittrajecten moet worden beveiligd om misbruik of compromittering te voorkomen.
5.2.2
m.n. punt 6
A.12.4.3 10.10.1.1 Logbestanden van beheerders en operators

ISO:
Activiteiten van systeembeheerders en -operators moeten worden vastgelegd en de logbestanden moeten worden beschermd en regelmatig worden beoordeeld.
5.2.2
m.n. punt 6
A.12.4.4 10.10.6.1 Synchronisatie van systeemklokken

ISO:
De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein
moeten worden gesynchroniseerd met één referentietijdbron.

NEN:
Gezondheidsinformatiesystemen die tijdkritische activiteiten voor gedeelde zorg ondersteunen, moeten in tijdssynchronisatiediensten voorzien om het traceren en reconstrueren van de tijdlijnen voor activiteiten waar vereist te ondersteunen.
5.2.6
A.12.5.1   Beheersing van operationele software

Doelstelling: De integriteit van operationele systemen waarborgen.
 
A.12.5.1 Geen BIG Software installeren op operationele systemen

ISO:
Om het op operationele systemen installeren van software te beheersen moeten procedures worden geïmplementeerd.
6.4
A.12.6   Beheer van technische kwetsbaarheden

Doelstelling: Benutting van technische kwetsbaarheden voorkomen.
 
A.12.6.1 12.6.1.1 Beheersing van technische kwetsbaarheden

ISO:
Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt, moet tijdig worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt, aan te pakken.
2
m.n. 2.3.2 2
A.12.6.2 Geen BIG Beperkingen voor het installeren van software

ISO:
Voor het door gebruikers installeren van software moeten regels worden vastgesteld en geïmplementeerd.
5.7
A.12.7   Overwegingen betreffende audits van informatiesystemen

Doelstelling: De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.
 
A.12.7.1 Geen BIG Beheersmaatregelen betreffende audits van informatiesystemen

ISO:
Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, moeten zorgvuldig worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.
5.5
A.13   Communicatiebeveiliging  
A.13.1   Beheer van netwerkbeveiliging

Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende
faciliteiten waarborgen.
 
A.13.1.1 10.6.1.3 Beheersmaatregelen voor netwerken

ISO:
Netwerken moeten worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
7
A.13
A.13.1.2 10.6.2.1 Beveiliging van netwerkdiensten

ISO:
Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
7
A.13
A.13.1.3 11.4.5.5 Scheiding van netwerken

ISO:
Groepen van informatiediensten, -gebruikers en -systemen moeten in netwerken worden gescheiden.
7.A.13
A.13.2   Informatietransport

Doelstelling: Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit.
 
A.13.2.1 Geen BIG Beleid en procedures voor informatietransport

ISO: 
Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, moeten formele beleidsregels, procedures en en voor transport van kracht zijn.
5.2.4
7.A.13
A.13.2.2 10.8.2.2 Uitwisselingsovereenkomsten

ISO:
Overeenkomsten moeten betrekking hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
7.A.13
A.13.2.3 Geen BIG Elektronische berichten

ISO:
Informatie die is opgenomen in elektronische berichten, moet passend beschermd zijn.
7.A.13.2.3
A.13.2.4   Geheimhoudingsovereenkomst

ISO:
Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, moeten worden vastgesteld, regelmatig worden beoordeeld en gedocumenteerd.
3
m.n. 3.1.2
A.14   Acquisitie, ontwikkeling en onderhoud van informatiesystemen  
A.14.1   Beveiligingseisen voor informatiesystemen

Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de
gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via
openbare netwerken.
 
A.14.1.1 12.1.1.1 Analyse en specificatie van beveiligingseisen

ISO:
De eisen die verband houden met informatiebeveiliging moeten worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.
7.A.14.1.1
A.14.1.2 Geen BIG Toepassingsdiensten op openbare netwerken beveiligen

ISO:
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
7.A.14.1.2
A.14.1.2   Toepassingsdiensten op openbare netwerken beveiligen

ISO:
Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.
7.A.14.1.2 / A.14.1.3
A.14.1.3 Geen BIG Transacties van toepassingsdiensten beschermen

ISO:
Informatie die deel uitmaakt van transacties van toepassingsdiensten, moet worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.
7.A.14.1.3
A.14.1.3   Transacties van toepassingsdiensten beschermen

ISO:
Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.
7.A.14.1.2 / A.14.1.3
A.14.2   Beveiliging in ontwikkelings- en ondersteunende processen

Doelstelling: Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de
ontwikkelingslevenscyclus van informatiesystemen.
 
A.14.2.1 Geen BIG Beleid voor beveiligd ontwikkelen

ISO:
Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast.
4
5
A.14.2.2 12.5.1.1 Procedures voor wijzigingsbeheer
 
Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer.
4
5
A.14.2.3 Geen BIG Technische beoordeling van toepassingen na wijzigingen bedieningsplatform

ISO:
Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.
4
5
A.14.2.4 Geen BIG Beperkingen op wijzigingen aan softwarepakketten
 
ISO:
Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd.
4
5
A.14.2.5 Geen BIG Principes voor engineering van beveiligde systemen

ISO:
Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.
4
5
A.14.2.6 Geen BIG Beveiligde ontwikkelomgeving

ISO:
Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.
4
5
A.14.2.7 06.2.3.1 ISO Uitbestede softwareontwikkeling
Uitbestede systeemontwikkeling moet onder supervisie staan van en worden gemonitord door de organisatie.

BIG: Beveiliging behandelen in overeenkomst en met een derde partij:
Maatregelen uit de verwerkersovereenkomst zijn geïmplementeerd.
7.A.14.2.7
A.14.2.8 Geen BIG Testen van systeembeveiliging

ISO:
Tijdens ontwikkelactiviteiten moet de beveiligingsfunctionaliteit worden getest.
4
5
A.14.2.9 Geen BIG Systeemacceptatietests

ISO:
Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld.

NEN: 
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten acceptatiecriteria vaststellen voor geplande nieuwe informatiesystemen, upgrades en nieuwe versies. Voorafgaand aan acceptatie moeten ze geschikte testen van het systeem uitvoeren.
4
5
A.14.3   Testgegevens

Doelstelling: Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.
 
A.14.3.1 Geen BIG Bescherming van testgegevens

ISO: 
Testgegevens moeten zorgvuldig worden gekozen, beschermd en gecontroleerd.
4
5
A.15   Leveranciersrelaties  
A.15.1   Informatiebeveiliging in leveranciersrelaties

Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor
leveranciers.
 
A.15.1.1 Geen BIG Informatiebeveiligingsbeleid voor leveranciersrelaties

ISO:
Met de leverancier moeten de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, worden overeengekomen en gedocumenteerd.  

NEN:
Organisaties die gezondheidsinformatie verwerken moeten de risico's in verband met toegang door externe partijen tot deze systemen of gegevens die zij bevatten, beoordelen en vervolgens beveiligingseisen implementeren die bij het geïdentificeerde risiconiveau en de toegepaste technologieën passen.
1.5.1.
SLA Rackspace
A.15.1.2 Geen BIG Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

ISO:
Alle relevante informatiebeveiligingseisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.
1.5.1.
SLA Rackspace
A.15.1.3 Geen BIG Toeleveringsketen van informatie- en communicatietechnologie

ISO:
Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.
1.5.1.
SLA Rackspace
A.15.2   Beheer van dienstverlening van leveranciers

Doelstelling: Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.
 
A.15.2.1 Geen BIG Monitoring en beoordeling van dienstverlening van leveranciers

ISO:
Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen.
1.5.1.
SLA Rackspace
A.15.2.2 Geen BIG Beheer van veranderingen in dienstverlening van leveranciers

Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en en voor informatiebeveiliging, moeten worden beheerd, rekening houdend met het kritieke karakter van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s.
1.5.1.
SLA Rackspace
A.16   Beheer van informatiebeveiligingsincidenten  
A.16.1   Beheer van informatiebeveiligingsincidenten en -verbeteringen

Doelstelling: Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van
informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke
plekken in de beveiliging.
 
A.16.1.1 10.8.2.2 Verantwoordelijkheden en procedures

ISO
Directieverantwoordelijkheden en -procedures moeten worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.
1.6.4
A.16.1.2 Geen BIG Rapportage van informatiebeveiligingsgebeurtenissen

ISO:
Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten verantwoordelijkheden en procedures met betrekking tot het managen van beveiligingsincidenten vaststellen: om een doeltreffende en tijdige respons op informatiebeveiligings-incidenten te bewerkstelligen; om te garanderen dat er een doeltreffend en geprioriteerd escalatiepad is voor incidenten zodat in de juiste omstandigheden en tijdig een beroep kan worden gedaan op plannen voor crisismanagement en bedrijfscontinuïteitsmanagement; om incidentgerelateerde auditverslagen en ander relevant bewijs te verzamelen en in stand te houden.

2
m.n. 2.1
A.16.1.3 13.1.2.1 Rapportage van zwakke plekken in de beveiliging

ISO:
Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie, moet worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.
2
A.16.1.4 Geen BIG Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

ISO:
Informatiebeveiligingsgebeurtenissen moeten worden beoordeeld en er moet worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.
2
A.16.1.5 Geen BIG Respons op informatiebeveiligingsincidenten

ISO:
Op informatiebeveiligingsincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures.
2
A.16.1.6 Geen BIG Lering uit informatiebeveiligingsincidenten

ISO:
Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen moet worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.
2
A.16.1.7 13.2.3.1 Verzamelen van bewijsmateriaal

ISO:
De organisatie moet procedures definiëren en toepassen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.
2
A.17   Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer  
A.17.1   Informatiebeveiligingscontinuïteit

Doelstelling: Informatiebeveiligingscontinuïteit moet worden ingebed in de systemen van het
bedrijfscontinuïteitsbeheer van de organisatie.
 
A.17.1.1 Geen BIG Informatiebeveiligingscontinuïteit plannen

ISO:
De organisatie moet haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vaststellen.
2
8.2
A.17.1.2 Geen BIG Informatiebeveiligingscontinuïteit implementeren

ISO:
De organisatie moet processen, procedures en en vaststellen, documenteren, implementeren en handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.
2
8.2
A.17.1.3 Geen BIG Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

ISO:
De organisatie moet de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geïmplementeerde en regelmatig verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.
2
8.2
A.17.2.1   Redundante componenten

Doelstelling: Beschikbaarheid van informatieverwerkende faciliteiten bewerkstelligen.
 
A.17.2.1 Geen BIG Beschikbaarheid van informatieverwerkende faciliteiten

ISO:
Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.
5.2.5
A.18   Naleving  
A.18.1   Naleving van wettelijke en contractuele eisen

Doelstelling: Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele
verplichtingen betreffende informatiebeveiliging en beveiligingseisen.
 
A.18.1.1 Geen BIG Vaststellen van toepasselijke wetgeving en contractuele eisen

ISO:
Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden.
1.6.4
A.18.1.2 Geen BIG Intellectuele-eigendomsrechten

ISO:
Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen moeten passende procedures worden geïmplementeerd.
7.A.18.1.2
A.18.1.3 Geen BIG Beschermen van registraties

ISO:
Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.
1.6.1
5.2
A.18.1.4 Geen BIG Privacy en bescherming van persoonsgegevens

ISO:
Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.

NEN:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de geïnformeerde toestemming van cliënten beheren.   
Waar mogelijk moet geïnformeerde toestemming van cliënten worden verkregen voordat persoonlijke gezondheidsinformatie per e-mail, fax of telefonisch wordt gecommuniceerd of anderszins bekend wordt gemaakt aan partijen buiten de zorginstelling.
1.3
A.18.1.5 Geen BIG Voorschriften voor het gebruik van cryptografische beheersmaatregelen

ISO:
Cryptografische en moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.
5.3.2
A.18.2   Informatiebeveiligingsbeoordelingen

Doelstelling: Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in
overeenstemming met de beleidsregels en procedures van de organisatie.
 
A.18.2.1 06.1.8.2 Onafhankelijke beoordeling van informatiebeveiliging

ISO:
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, en, beleidsregels, processen en procedures voor informatiebeveiliging), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld.

BIG:
Periodieke beveiligingsaudits (minimaal eens per twee jaar) worden uitgevoerd volgens afspraken met de verwerkingsverantwoordelijke.
5.5
A.18.2.2 Geen BIG Naleving van beveiligingsbeleid en -normen

ISO:
De directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.
2.3.2/2b
A.18.2.3 Geen BIG Beoordeling van technische naleving

ISO:
Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.
2.3.2/2b


 

Afdrukken