NEN 7510 - How To Get Started

Onderwerp:

Datum:

Aanwezigen:

Classificatie:

Implementing NEN7510Information security HealthcareHow to get started

Leo Eijkelenkamp

Implementing NEN 7510, Information security

2011-06-11

E Leo.Eijkelenkamp@PinkRoccade.nl l M +31 (0)6 5351 8228 l T +31 (0)55 599 92 00 | W www.pinkroccade-healthcare.nl

L http://nl.linkedin.com/in/leoeijkelenkamp

2

● Implementation in two phases

● Short term

● Long term

● The first deliverables

● Analysis of current status

● The first 12 measures

● (References)

Agenda

3

● Divide the implementation in two phases:

o Short term – to get started

• Top management support

• Analysis of current status

• Implementing the 12 most important measures

o Long term – to keep on going

• Implementing the Deming circle: Plan – Do – Check - Act

Implementation in two phases

4

Short term and long term

5

● Top management support

o Give information security a place in the organizational roadmap

o Make resources available

o Assignment

o Evaluate progress

● Analysis of current status

o Checking the differtent subject of NEN 7510 in the organization

o Status quo

● Implementing the 12 most important measures (for as far needed)

o Appendix B van de NEN7511-2

o Other possible quick wins resulting from the analysis

Short term

6

Processtappen NEN7510/ NEN7511

Plan Formulating a policy on information securityPerforming a risk analysisMaking an information security plan

5 Beveiligingsbeleid6 Organiseren van informatiebeveiliging

Do Implementation of measures 7 Beheer van middelen8 Beveiligingseisen t.a.v. personeel9 Fysieke beveiliging10 Operationeel beheer11 Toegangsbeveiliging12 Aanschaf, ontwikkeling, onderhoud13 Continuïteitsbeheer15 Beveiligingsincidenten

Check Evaluating 5.1.2 Evaluatie en actualisering14 Naleving

Act Implementing improvements See at ‘Do’

Long term

7

The first deliverables

8

Analysis of current status

Beveiligingsbeleid

Organiseren van informatiebeveiliging

Beheer van middelen

voor de informatievoorziening

Beveiligingseisen t.a.v. personeel

Aanschaf, ontwikkeling en onderhoud

van informatiesystemen

Continuïteitsbeheer

Toegangsbeveiliging

Operationeel beheer van informatie

en communicatie voorzieningen

Fysieke beveiliging en beveiliging

van de omgeving

strategisch

tactisch

operationeel

9

● 5.1.1 Beleidsdocument voor informatiebeveiliging

● 6.1.3 Toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging

● 8.2.2 Bewustwording, opleiding en training voor informatiebeveiliging

● 10.4.1 Maatregelen tegen kwaadaardige programmatuur

● 10.8.2 Gebruik overeenkomsten voor gegevensuitwisseling

● Hoofdstuk 11 (11.2.2, 11.2.3, 11.2.4, 11.2.6) Toegangsbeveiliging

● 13.1.3 Ontwikkelen en implementeren van continuïteitsvoorzieningen en –plannen

● 14.1.2 Intellectueel eigendom

● 14.1.3 Beveiliging van bedrijfsdocumenten

● 14.1.4 Bescherming van persoonsgegevens

● 14.2.1 Naleving beveiligingsbeleid

● 15.2.1 Het rapporteren van beveiligingsincidenten

The first 12 measures

10

● [HAN05] – Handboek NEN7510 versie 1.0, 10 november 2005

● [N7510-04] – Nederlandse norm NEN7510, april 2004

● [N7511-2-05] – Nederlandse norm NEN7511-2, oktober 2005

References