NEN 7510 pragmatisch invoeren in zorginstellingen

1. Informatiebeveiliging een grabbelton?

De winst van NEN 7510 is, dat zorginstellingen niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘Keuzes bij de invoering van NEN 7510 nader toegelicht’.) Want niet de norm is bepalend. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de zorginstelling, waarbij de NEN 7510 norm geld als een set van ‘best practices’. Daarmee wordt tevens voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een zorginstelling heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden:

• Een maatregel wordt zo snel mogelijk geïmplementeerd.
• Een maatregel wordt gepland.
• Als de zorginstelling van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27001 te certificeren?’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van NEN 7510 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9001. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9001, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.

2. NEN 7510 is een kwaliteitssysteem

NEN 7510 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de zorginstelling. NEN 7510 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De invoering in de organisatie wordt doorgaans wel projectmatig aangepakt.

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van NEN 7510 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele zorginstelling. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele zorginstelling  gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40 á 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) 

Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling document management. Bovendien is kennisdeling een voorwaarde voor het leveren en verbeteren van de kwaliteit van de zorg.

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risicoanalyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken, maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook het gebruik van SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510‘.) Dit model volgt de doelstellingen van NEN 7510. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat dit model het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de zorginstelling  te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging.

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de zorginstelling  gedwongen had tot ingrijpen.

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002’.

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces ‘beheer van de informatiebeveiliging’. De meeste zorginstellingen zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste zorginstellingen primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportagesysteem voor risk management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging NEN 7510‘.) Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de zorginstelling  te zwaar belast wordt.

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met NEN 7510 nu een alternatief. Er hoeft niet langer sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de zorginstelling.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame invoering van onbegrepen maatregelen, maar op de selectie van adequate maatregelen. Awareness en commitment zijn in deze aanpak geen probleem. Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de zorginstelling  werkt.
Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de zorginstelling.