ISO/ IEC 27001 is een veelgebruikte standaard voor het certificeren van informatiebeveiliging. De norm is flexibel van opzet, waardoor hij bruikbaar is in vele soorten bedrijven en organisaties. Diezelfde flexibiliteit kan er echter ook voor zorgen dat bedrijven niet goed weten waar ze moeten beginnen bij het implementeren ervan. In de loop der jaren zijn er afgeleide normen ontstaan, die weliswaar op dezelfde leest zijn geschoeid, maar minder aan het toeval overlaten en de organisatie als het ware voorschrijven hoe bepaalde zaken ingevuld moeten worden. Voorbeelden in Nederland zijn de BIR (Baseline Informatiebeveiliging Rijksdienst, voor overheidsorganisaties), BIG (Baseline Informatiebeveiliging Gemeenten) en de NEN 7510 (voor de zorgsector).

De overeenkomsten tussen de NEN 7510 en de ISO/ IEC 27001

De NEN 7510:2017 (zoals deze voluit heet) is gebaseerd op ISO/ IEC 27001:2013 en volgt nu dus ook dezelfde HLS (high level structure), wat integratie met andere normen die ook gebruik maken van de HLS, zoals ISO 9001:2015, vergemakkelijkt. Hierdoor kunnen zaken als het in kaart brengen van de context van de organisatie, stakeholder analyse, risicoanalyse, doelstellingen, beleid enzovoorts in één keer voor meerdere normen tegelijk worden uitgevoerd. Ook de certificeringsaudit kan gecombineerd worden uitgevoerd.

De verschillen

De NEN 7510(:2017) is een praktische toepassing van ISO/ IEC 27001(:2013), wat inhoudt dat deze op een aantal voor de zorgsector relevante punten de interpretatieruimte weglaat en veel meer “voorschrijft” wat een organisatie moet doen.

De bijlage van ISO/ IEC 27001 bevat 114 controlemaatregelen die de organisatie in overweging moet nemen. De NEN 7510 bevat 3 extra maatregelen en schrijft bij 53 van die controlemaatregelen voor hoe de organisatie deze maatregel in moet regelen. De impact hiervan kan variëren.

Een kleine impact zien we bijvoorbeeld bij A.5.1.2 (Beoordelen van het informatiebeveiligingsbeleid). ISO/ IEC 27001 zegt hier dat er het beleid periodiek moet worden beoordeeld, tenminste als er zich een significante verandering heeft voorgedaan. NEN 7510 stelt hier dat het beleid gedurende het jaar gefaseerd moet worden beoordeeld, en als er zich een ernstig informatiebeveiligingsincident heeft voorgedaan.

Een veel grotere impact heeft maatregel A.9.4.1 (Beperking toegang tot informatie). ISO / IEC 27001 zegt hier dat de toegang tot informatie moet worden beperkt in overeenstemming met het beleid van de organisatie. NEN 7510 bepaalt echter dat de toegang tenminste met two factor dient te geschieden en dat de toegang tot patiëntgegevens moet worden gescheiden van de toegang tot andere gegevens (wat de mogelijkheden tot single sign-on beperkt).

De combinatie

Omdat de NEN 7510 de ISO/ IEC 27001 “overlapt”, is het ook mogelijk in één keer voor beide normen tegelijk gecertificeerd te worden. En als de organisatie al ISO/ IEC 27001 gecertificeerd was, is het relatief eenvoudig om hier ook een NEN 7510-certificering aan toe te voegen.