Informatieveiligheidsbeleid

Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen

Opdrachtgever:

Harm Wesseling, directeur ICT en Medische Techniek

Auteur: Datum:

Ger Wierenga, security officer, stafdienst ICT Oktober 2014

Versie:

5.0

Beleid Informatieveiligheid 2014

Versie beheer Datum

Auteur

Versie

Wijziging

19 januari 2007

Hugo Hegen

3.2

Voorlopige versie

7 januari 2009

Hugo Hegen

4.0

Bijgewerkte versie

14 december 2009

Ger Wierenga

4.1

Bijgewerkte versie

22 april 2011

Ger Wierenga

4.2

Bijgewerkte versie

6 oktober 2014

Ger Wierenga

5.0

Bijgewerkte versie

Document distributie Datum

Naam

Reden

Versie

6 oktober 2014

Harm Wesseling

bespreking

5.0

Informatieveiligheidsbeleid 2014, versie 5.0

2/14


Voorwoord De primaire functie van het Martini Ziekenhuis is het leveren van patiëntenzorg. Deze zorg wil het MZH op een kwalitatief hoog niveau leveren aan haar patiënten. Integrale aandacht voor informatieveiligheid is één van de voorwaarden voor het kunnen bieden van kwaliteit van zorg. Het MZH wil graag een veilige omgeving zijn voor haar patiënten, waarbij de patiënt er altijd op moet kunnen vertrouwen dat met zijn gegevens veilig en vertrouwelijk wordt omgegaan. Hetzelfde uitgangspunt geldt natuurlijk ook voor medewerkers. Daarom dient het ziekenhuis adequate beveiligingsmaatregelen te nemen. Informatieveiligheid neemt zowel in de samenleving als ook in het Martini Ziekenhuis een steeds prominentere positie in. De afhankelijkheid van informatie en geautomatiseerde informatiesystemen neemt toe en zal in de komende jaren alleen maar toenemen. Informatieveiligheid heeft als doel het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening binnen de zorgprocessen en de ondersteunende diensten. De basis hiervoor is beschreven in de Nederlandse norm voor informatieveiligheid in de zorg, de NEN7510, waaraan ook het Martini Ziekenhuis moet voldoen.

Peter Littooij Lid Raad van Bestuur


3/14


Inhoudsopgave Voorwoord ............................................................................................................. 3 Inhoudsopgave ..................................................................................................... 4 1. Inleiding ............................................................................................................. 5 1.1. Doelstelling .............................................................................................. 5 1.2. Definitie .................................................................................................... 6 1.3. Indeling document ................................................................................... 6 2. Uitgangspunten Informatieveiligheid ............................................................. 7 2.1. Scope van het beleid ............................................................................... 7 2.2. Relatie met het ISMS ............................................................................... 7 3. Organisatie van Informatieveiligheid .............................................................. 9 3.1. Raad van Bestuur .................................................................................... 9 3.2. Stafdirectie ............................................................................................... 9 3.3. Stafcommissie ICT................................................................................... 9 3.4. Security officer ......................................................................................... 9 3.5. Management .......................................................................................... 10 3.6. Systeemeigenaar ................................................................................... 10 3.7. Unithoofd Audit & Procesinrichting ........................................................ 10 Functionaris Gegevensbescherming ..................................................... 10 3.8. 3.9. Medewerker ........................................................................................... 10 4. Beleidsproces Informatieveiligheid .............................................................. 11 4.1. Het beleid vaststellen (Plan) .................................................................. 11 4.2. Het beleid implementeren en uitvoeren (Do) ......................................... 11 4.3. Het beleid bewaken en beoordelen (Check) ......................................... 11 4.4. Het beleid actueel houden en verbeteren (Act) ..................................... 11 5. Beschreven procedures ................................................................................. 12 6. Slotbepaling .................................................................................................... 14


4/14


1. Inleiding Informatieveiligheid neemt zowel in de samenleving als ook in het Martini Ziekenhuis een steeds prominentere positie in. De afhankelijkheid van informatie en geautomatiseerde informatiesystemen neemt toe en zal in de komende jaren alleen maar toenemen. Dit document beschrijft het informatieveiligheidsbeleid, zoals dat is vastgesteld door de Raad van Bestuur. Het beleid vormt de basis voor het omgaan met een verzameling beheersmaatregelen, zoals beleid, procedures en werkwijzen. Deze beheersmaatregelen dienen in samenhang met de bedrijfsprocessen in gezet te worden. De noodzaak voor dit beleid is gelegen in het feit dat de organisatie en de informatievoorziening blootgesteld worden aan een groot aantal bedreigingen. Dit levert risico’s op, die het noodzakelijk maken om maatregelen te treffen, die de risico’s tot een aanvaardbaar niveau verminderen. Het informatieveiligheidsbeleid is van toepassing op alle medewerkers van het Martini Ziekenhuis en alle relaties die gegevens van het Martini Ziekenhuis kunnen raadplegen of wijzigen. Het Informatieveiligheidsbeleid is voor de eerste keer vastgesteld door de Raad van Bestuur in 2009. Er zijn updates van die versie verschenen in 2011 en 2012. Voor deze nieuwe versie is gekozen om op hoofdlijnen het beleid uiteen te zetten. Waar mogelijk wordt een verbinding gelegd met documenten, waarin een verdere uitwerking van het beleid is te vinden. Dit heeft als consequentie dat het beheer van informatieveiligheid eenvoudiger is, omdat het niet aangepast hoeft te worden bij een wijziging in een procedure. Het Informatieveiligheidsbeleid is opgesteld door de security officer, onder verantwoordelijkheid van de stafdirecteur ICT. Het beleid is geaccordeerd door de Stafcommissie ICT en is vastgesteld door de Raad van Bestuur.

1.1. Doelstelling Het doel van informatieveiligheid is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening binnen de zorgprocessen en de ondersteunende diensten. Het beleid fungeert als basis voor procedures, afspraken en beheersmaatregelen op het gebied van informatieveiligheid. Het beleid heeft als basis de NEN7510, de norm voor informatiebeveiliging in de zorg. Dit informatieveiligheidsbeleid vormt het uitgangspunt voor management en systeemeigenaren om inhoud te geven aan informatieveiligheid. Zij dienen de beleidsuitspraken uit te dragen, te effectueren en te controleren.


5/14


1.2. Definitie Het Martini Ziekenhuis gebruikt de volgende definitie van informatieveiligheid: Informatieveiligheid richt zich volgens de definitie op de volgende drie aspecten:  beschikbaarheid: de mate waarin informatie beschikbaar is voor de gebruiker  integriteit: de mate waarin de informatie actueel en zonder fouten is, oftewel de juistheid en volledigheid van de informatie  vertrouwelijkheid: de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft

Informatieveiligheid is het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. Daarbij wordt rekening gehouden met de stand van de techniek en met de balans tussen de financiële impact van risico’s en de kosten om deze te verminderen.

1.3. Indeling document In Hoofdstuk 2 worden de uitgangspunten benoemd die gehanteerd worden bij de toepassing van informatieveiligheid. Hoofdstuk 3 bevat het beleidsproces Informatieveiligheid. Hoofdstuk 4 beschrijft de organisatie van Informatieveiligheid in het Martini Ziekenhuis. Tot slot zijn in Hoofdstuk 5 nog enkele slotbepalingen te vinden.


6/14


2. Uitgangspunten Informatieveiligheid 2.1. Scope van het beleid Dit beleid is gebaseerd op de Nederlandse norm voor informatiebeveiliging in de Zorg, beter bekent als de NEN7510. Van de NEN7510 is in 2012 een nieuwe versie verschenen. De NEN7510 bestaat uit de volgende onderwerpen: beveiligingsbeleid organiseren van informatiebeveiliging beheer van middelen voor de informatievoorziening beveiligingseisen ten aanzien van personeel fysieke beveiliging en beveiliging van de omgeving operationeel beheer van informatie- en communicatievoorzieningen toegangsbeveiliging aanschaf, ontwikkeling en onderhoud van informatiesystemen continuïteitsbeheer naleving beveiligingsincidenten Bij informatieveiligheid speelt altijd de vraag wat de reikwijdte is van de informatieveiligheidsmaatregelen. Als eerste wordt altijd gedacht aan de geautomatiseerde informatievoorziening (ICT-systemen), de niet-geautomatiseerde informatie kan ook onderdeel zijn van informatieveiligheid. Bij de start van de ontwikkeling van het informatieveiligheidsbeleid is besloten om vooralsnog het beleid primair te richten op de geautomatiseerde informatievoorziening en de niet-geautomatiseerde informatie (papier) buiten beschouwing te laten. Dit beleid heeft dus alleen betrekking op de maatregelen, noodzakelijk voor de ICT-systemen, -toepassingen en de daarbij behorende technische infrastructuur en organisatie.

2.2. Relatie met het ISMS Informatieveiligheid in de zorg is rechtstreeks verbonden met de NEN7510. In dit normenkader zijn vele normelementen opgenomen. Om te kunnen voldoen aan dit normenkader, wordt informatieveiligheid cyclisch benaderd met een Information Security Management System. In dit ISMS, ook één van de vereisten die de NEN7510 stelt, wordt met een PDCA-cyclus gewerkt aan informatieveiligheid. Er is voor gekozen om in het Martini Ziekenhuis ook de informatiemiddelen met deze methodiek te benaderen, om te bewerkstelligen dat het beveiligingsniveau van informatiemiddelen ook verbeterd. Dit alles moet ervoor zorgen dat het MZH ‘in control’ is op informatieveiligheid. Het ISMS is onderdeel van het Informatieveiligheidsbeleid en is hier te vinden.


7/14


Het ISMS wordt in de NEN7510 beschreven als ‘dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico’s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging. Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie.’ Een belangrijk onderdeel van het ISMS is het cyclische proces (plan/do/check/act) voor het bepalen van beveiligingsdoelstellingen op basis van een risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Informatiebeveiliging wordt met het ISMS als een proces benaderd. De uitvoering van dit proces geeft het Martini Ziekenhuis grip op informatiebeveiliging. Het betrekken van informatiebeveiliging bij nieuwe ontwikkelingen en het toepassen van risicobeoordeling is van belang om te kunnen groeien in informatiebeveiligingsbewustzijn.

Figuur 1 PDCA-model toegepast op het ISMS

Het ISMS werkt met een ISMS-Tool. Deze tool stelt de security officer in staat om overzicht te houden op de diverse normelementen en de informatiemiddelen en de status van de betreffende normelementen en informatiemiddelen in het MZH.


8/14


3. Organisatie van Informatieveiligheid In dit hoofdstuk wordt beschreven welke taken, verantwoordelijkheden en bevoegdheden met betrekking tot informatieveiligheid zijn vastgesteld.

3.1. Raad van Bestuur De Raad van Bestuur draagt eindverantwoordelijkheid voor informatieveiligheid. Dit is belegd bij het lid Raad van Bestuur. De Raad van Bestuur accordeert het ISMS en het informatieveiligheidsbeleid na goedkeuring door de Stafcommissie ICT.

3.2. Stafdirectie De stafdirecteur ICT & Medische Techniek vervult meerdere rollen op het gebied van informatieveiligheid. De Raad van Bestuur delegeert de verantwoordelijkheid voor het opstellen, implementeren en handhaven van het beveiligingsbeleid aan de directeur ICT. De directeur ICT is voorzitter van de Coördinatiegroep ICT, heeft de portefeuille informatieveiligheid en is daarnaast de leidinggevende van de security officer. De stafdirecteur is opdrachtgever van het ISMS en het informatieveiligheidsbeleid en rapporteert hierover aan de Raad van Bestuur.

3.3.

Stafcommissie ICT De Stafcommissie ICT fungeert ook als Stuurgroep Informatieveiligheid. De commissie vergadert ieder kwartaal. Informatieveiligheid staat als vast punt op de agenda. Het ISMS wordt jaarlijks in Q4 geëvalueerd, aan de hand van een rapportage van de security officer. De Stuurgroep ICT bestaat uit:  Stafdirecteur ICT & Medische Techniek  Lid Medische Staf  Organisatorisch manager De Stafcommissie ICT geeft goedkeuring aan het ISMS en het informatieveiligheidsbeleid en laat dit accorderen door de Raad van Bestuur.

3.4.

Security officer De security officer is verantwoordelijk voor:  het opstellen, onderhouden en verbeteren van het informatieveiligheidsbeleid  het opstellen , onderhouden en verbeteren van het ISMS en de ISMS-Tool  het opstellen van rapportages t.b.v. de Stafcommissie ICT en de Raad van Bestuur  het organiseren en uitvoeren van activiteiten in het kader van informatieveiligheid  het ondersteunen van eigenaren van normelementen en informatiemiddelen  het informeren van de organisatie over informatieveiligheid  de algemene communicatie over informatieveiligheid en het ISMS  het vergroten van de information security awareness  het opvolgen van gemelde incidenten informatieveiligheid


9/14


 lidmaatschap van het Netwerk voor Informatieveiligheid (Nederlandse Vereniging van Ziekenhuizen) De security officer kan voor minimaal 50% van zijn dienstverband besteden aan informatieveiligheid.

3.5. Management Iedere medisch en organisatorisch manager is zelf verantwoordelijk voor informatieveiligheid binnen hun functiegroep. Hiertoe dienen de managers de vanuit dit informatiebeveiligingsbeleid beschreven maatregelen te implementeren en controle uit te oefenen op naleving, o.a. door te rapporteren aan de afdeling interne controle. Een informatiemiddel of informatiesysteem valt onder de verantwoordelijkheid van een manager. Deze manager is verantwoordelijk voor de praktische implementatie van beveiligingsmaatregelen.

3.6. Systeemeigenaar Systeemeigenaren hebben de gedelegeerde verantwoordelijkheid om zorg te dragen voor de praktische implementatie van de beveiligingsmaatregelen ten aanzien van informatiesystemen. Zij treden op als contactpersoon voor de security officer waar het gaat om afstemming over beveiligingsmaatregelen (denk aan de uitvoering van risicoanalyse).

3.7. Unithoofd Audit & Procesinrichting In het Martini Ziekenhuis voert de afdeling Audit en procesinrichting interne audits uit in opdracht van de Raad van Bestuur. Er vinden ook audits plaats op het gebied van informatiebeveiliging. Deze audits worden uitgevoerd om vast te stellen of het ISMS, de ISMSTool, de ingevoerde maatregelen en de PDCA-cyclus adequaat worden toegepast in de organisatie. Het unithoofd is verantwoordelijk voor de uitvoering van de interne audits en de rapportage hierover aan de Raad van Bestuur.

3.8. Functionaris Gegevensbescherming De Functionaris voor de Gegevensbescherming is verantwoordelijk voor het toezicht op de naleving van de Wet Bescherming Persoonsgegevens in het Martini Ziekenhuis. Deze functionaris doet hiertoe aanbevelingen voor een betere bescherming van verwerkingen van persoonsgegevens.

3.9. Medewerker Iedere medewerker van het ziekenhuis is verantwoordelijk voor (het toepassen van) alle aspecten van informatieveiligheid binnen de eigen invloedssfeer.


10/14


4. Beleidsproces Informatieveiligheid Het Martini Ziekenhuis wil informatieveiligheid als een proces zien. Dit betekent dat de Plan-DoCheck-Act cyclus (zie 2.2) toegepast wordt op het informatieveiligheidsbeleid.

4.1. Het beleid vaststellen (Plan) Dit document is in feite onderdeel van de Plan-fase. Hierin wordt beschreven waaraan informatieveiligheid in het Martini Ziekenhuis moet voldoen. Dit beleidsdocument is een update van het vorige informatieveiligheidsbeleid (versie 4.3, 2012).

4.2. Het beleid implementeren en uitvoeren (Do) In de Do-fase wordt het beleid toegepast. Afspraken met interne stakeholders worden gemaakt, om invulling te geven aan het beleid. Hiervoor wordt met name het ISMS gebruikt.

4.3. Het beleid bewaken en beoordelen (Check) In de cyclus van het ISMS zit een jaarlijkse controle van de verschillende normelementen en de verschillende informatiemiddelen. De status wordt jaarlijks gescoord, door de security officer met de eigenaar van het betreffende normelement / informatiemiddel. De nieuwe score van het ISMS wordt vervolgens gerapporteerd aan de Stafcommissie ICT en de Raad van Bestuur.

4.4. Het beleid actueel houden en verbeteren (Act) De uitkomsten van de jaarlijkse controle, als ook de uitkomsten van (interne) audits, kunnen input zijn voor het aanpassen van het informatieveiligheidsbeleid. Als hier aanleiding toe is, zal de security officer het beleid aanpassen en opnieuw voorleggen ter accordering aan de betreffende gremia. De nieuwste versie zal uiteraard intern worden gepubliceerd. Het Informatieveiligheidsbeleid wordt gepubliceerd op iProva en daarmee tweejaarlijks worden gereviseerd.


11/14


5. Beschreven procedures Hieronder vindt een opsomming plaats van procedures die een rol spelen in informatieveiligheid. In de komende tijd worden deze procedures geplaatst op het kwaliteitsportaal (0.5 Stafdienst ICT – ICT & Medische Techniek). Onderstaande links verwijzen naar documentatie op iProva. Het kan zijn dat de betreffende link niet doorverwijst naar het bedoelde document. Dan is dit document nog niet definitief vastgesteld. Het betreffende onderwerp is dan nog beschreven in het vorige informatieveiligheidsbeleid (versie 4.3, 2012), dat dan voor dit onderdeel nog geldig is.

Aanvraag wijzigingen / changemanagement Problemmanagement Configuration management Definitive Software Library Classificatie van gegevens Beveiligingseisen voor systemen BIA, RA Bewerkersovereenkomst met leveranciers die data van het MZH verwerken Controle op bewerker Toegang tot netwerk door leveranciers Informatiebeveiliging bij aanname nieuwe medewerker, wijziging of beëindiging aanstelling Aanvullende beveiligingsrichtlijnen bij bepaalde functies Screening bij werving personeel in bepaalde functies Geheimhoudingsplicht medewerkers en externe medewerkers Security awarenes, opleiding en training Clear screen en clear desk (zie Informatiebeveiligingsbeleid, 6.3.1, p.19) Beheer van verwijderbare media Thuiswerken, voorwaarden m.b.t. beveiliging BYOD Hoe te handelen bij bewust doorbreken van beveiligingsmaatregelen Logische toegangsbeveiliging, identificatie, authenticatie, authorisatie Verantwoordelijkheden logische toegang, in- en uit dienst en bij mutaties Het gebruik van administrator-accounts Fysieke toegangsbeveiliging Werken in beveiligde ruimten Het plaatsen en beveiligen van apparatuur Het gebruik van werkstations Bedieningsprocedures Meenemen of verzenden van media of data Beveiliging van hardware en verbindingen Stroomvoorziening Netwerken Back-up Maatregelen tegen kwaadaardige programmatuur Scheiden van omgevingen (OTAP) Afvoer van media en hardware Informatieveiligheidsbeleid 2014, versie 5.0

12/14


Systeemdocumentatie Gegevensuitwisseling met derden, ook uitwisseling on-line, e-mail Elektronische communicatie tussen personen Capaciteitsbeheer Continuïteitsbeheer Calamiteitenbeheer Naleving


13/14


6. Slotbepaling Mocht zich een situatie voordoen waarin het hier beschreven beleid niet in voorziet, of mocht er verschil van interpretatie zijn, beslist, na advisering door de security officer, de Raad van Bestuur.


14/14

Informatieveiligheidsbeleid

Recommend Documents