Verhoog in 3 stappen je NEN 7510 compliance binnen Office 365

In een eerdere blog schreven we al over het belang van informatiebeveiliging in de zorg vanuit het oogpunt van de General Data Protection RegulationDeze keer behandelen wij de NEN 7510 normering en hoe je hierbij binnen Office 365 je compliance verhoogt.

In de zorgsector is de NEN 7510 de normering welke zich richt op de informatiebeveiliging in zowel fysieke als digitale vorm. NEN 7510 kan worden gebruikt als leidraad voor de inrichting van een veilig informatiebeveiligingsbeleid en gaat uit van een goed risico-assessment, waarop vervolgens de juiste maatregelen getroffen kunnen worden. Om dit te bewerkstelligen biedt de NEN 7510 uitgangspunten en richtlijnen voor het nemen van maatregelen ten behoeve van vertrouwelijkheid, integriteit en beschikbaarheid van zorg-gerelateerde data. Het monitoren en handhaven van de maatregelen maakt tevens onderdeel uit van de norm.

Veel zorgorganisaties beschikken reeds over een informatie beveiligings- management systeem (ISMS). Dit systeem, wat een procesmatige aanpak is en niet per se een digitaal systeem, wordt ingezet voor het verkrijgen van overzicht in de te nemen en genomen maatregelen, én de controle hierop.

Aspecten die hierin worden meegenomen zijn onder andere, de organisatie van informatiebeveiliging, het personeel, beheer van communicatie en bedieningsprocessen, toegangsbeveiliging, ontwikkeling en onderhoud van informatiesystemen, beheer van beveiligingsincidenten, en naleving. Middels het ISMS dient ontwikkeling op de onderliggende onderdelen stelselmatig worden gepland, uitgevoerd, geëvalueerd, bijgehouden en verbeterd.

Office 365 & Nen 7510 – verhoog je compliance in 3 stappen

Stap 1
De eerste stap is de opname van Office 365 in het eerder genoemde Informatie Beveiligings Management Systeem (ISMS). Het nemen van deze stap betekent dat de informatiebeveiliging binnen Office365 stelselmatig wordt meegenomen en geëvalueerd.

22.1.png

 

Informatie Beveiligings Management Systeem (ISMS)

Wat op papier slechts een kleine stap lijkt, is in de praktijk een stap van grote betekenis. Het betekent namelijk dat de organisatie stelselmatig aandacht gaat schenken aan de informatieveiligheid binnen Office 365. In de praktijk merk ik dat alleen deze stap organisaties al sterk helpt bij de bewustwording van de diversiteit van aspecten van informatiebeveiliging in combinatie tot de inzet van Office 365.

Stap 2
De tweede stap is het analyseren en vaststellen van de beveiligingsaspecten. Bij deze stap behoort onder andere het in kaart brengen van de specifieke informatie welke middels specifieke onderdelen van Office 365 worden verwerkt en de analyse van de mate van beveiliging.

In de praktijk merk ik dat er voor zorgorganisaties doorgaans een flinke uitdaging ligt om de NEN 7510 te vertalen naar hun Office 365 omgeving. Met name omdat de NEN 7510 zelf geen concrete vertaling naar Office365 biedt. De concrete vertaling zelf past niet in deze blog, maar het goede nieuws is dat we zorgorganisaties middels de Beveiligings Assessment tool een directe inzage kunnen bieden in de stand van zaken binnen de Office 365 omgeving en de te nemen maatregelen. Deze tooling beschikt tevens over de mogelijkheid om eigen wegingen aan de verschillende onderdelen te geven. Ook geeft de tooling inzicht in welke onderdelen al binnen de specifieke licentie van Office365 zijn opgenomen en waardoor er meer uit de al bestaande licenties gehaald kan worden.

 Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Stap 3
De derde stap omvat het nemen van de passende technische maatregelen om de algehele mate van NEN 7510 compliance middels de onderdelen van de Office365 omgeving te verhogen. Hierbij kan gedacht worden aan verschillende specifieke maatregelen. Bijvoorbeeld specifieke onderdelen uit de Azure AD ten aanzien van het beheer gebruikers en toegang, passende MFA-instellingen ten aanzien van verificatie van authenticatie en goedgekeurde toegangsmethoden voor specifieke informatie onderdelen, retentiepolicies, en security management ten behoeve van de identificatie van potentiele bedreigingen en andere onderdelen.

In de praktijk merk ik dat het voor zorgorganisaties erg waardevol is om te kunnen partneren met een organisatie welke niet alleen over technische kennis beschikt maar over praktijk gerichte oplossingen. Juist door deze samenwerking kunnen er compliance verhogende maatregelen genomen worden waarbij ook de praktische overwegingen goed worden meegenomen.

Bovenstaande beschreven stappen maken onderdeel uit van het totale stappenplan dat gerelateerd is aan de NEN 7510. Wilt u meer weten over deze en de andere stappen van de NEN 7510, of over de digitale beveiligingsassement van Office 365 ten behoeve van de NEN 7510? Neem dan contact met ons Security Team op.