Invoering NEN 7510 is eenvoudiger dan u denkt

De IGZ en het CBP hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’. Het lijkt erop dat het de bedoeling is hiermee zorginstellingen te intimideren, die NEN 7510 nog moeten invoeren. Hoe gaat u hier als zorginstelling mee om?

Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002

Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Keuzes bij de invoering van NEN 7510 nader toegelicht

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510

[ 22 mei 2013 09:30 tot 24 mei 2013 17:00. 12 november 2013 09:30 tot 14 november 2013 16:30. ] Informatiebeveiliging is niet onbelangrijk, maar de keuze voor en de implementatie van adequate maatregelen om belangrijke bedrijfsrisico’s te verminderen mogen nooit gebaseerd zijn op bangmakerij en opgeblazen incidenten. Deze cursus is primair gericht op het in de praktijk beheersen van deze bedrijfsrisico’s.

Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Basis voor informatiebeveiliging is vertrouwen

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.

Preventie dataverlies (DLP) geeft een betere beveiliging

Ook informatiebeveiligers moeten met hun tijd meegaan. Nieuwe technologieën zoals cloud computing leveren niet alleen nieuwe dreigingen op, maar ook nieuwe kansen.

NEN 7510 pragmatisch invoeren in zorginstellingen

Zorginstellingen die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel kunnen NEN 7510 gebruiken om pragmatisch tot een passend security management systeem te komen, inclusief een natuurlijke verbetercyclus.

Wet- en regelgeving bij informatiebeveiliging-privacy

Privacy heeft maar weinig uit te staan met informatiebeveiliging. Het is een extern opgelegde randvoorwaarde met slechts weinig eisen die echt moeten. Kortom, een sluitpost en geen uitgangspunt.

Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren

De implementatie van ISO 27002 of NEN 7510 wordt vaak voorgesteld als een complex gebeuren, waarbij awareness zeer problematisch is. Als u deze ervaring ook heeft, dan kunt u in dit artikel lezen hoe u het waarschijnlijk slimmer had kunnen doen of mogelijk nog kunt doen.

volgende pagina »