Wat doe je als Information Security consultant bij Cuccibu? Onze consultants geven graag een inkijk wat ze doen bij onze klanten. Onze collega Max Aarts, Information Security consultant bij Cuccibu, heeft een onderzoek uitgevoerd naar de implementatie van de BIO en NEN 7510-normen bij Avisi. Hij vertelt graag uit welke stappen zo’n inventarisatie bestaat en wat het de klant oplevert.
Avisi is een IT-bedrijf gevestigd in Arnhem. De diensten omvatten de hele software lifecycle: van idee tot implementatie, van softwareontwikkeling, inzicht en requirements tot expert services rondom GitLab, Artificial Intelligence en Business Innovation, Managed Cloud Services en Apps That Fill Gaps. Daarbij zijn ze ISO27001:2022-gecertificeerd. Hiermee toont Avisi aan dat ze de risico’s rond beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige informatie op een adequate en integere wijze hebben afgedekt.
Als onderdeel van de voortdurende verbeteringsinspanningen zijn ze ook gestart om een nulmeting uit te voeren op de BIO en NEN 7510. Dit zijn informatiebeveiligingsnormen die gericht zijn op de publieke sector en gezondheidszorg. Het aantoonbaar voldoen aan deze normen stelt Avisi in staat om mogelijk ook klanten in deze sectoren te bedienen. Cuccibu neemt je mee in de bevindingen en aanpak van Max Aarts bij de nulmeting van deze normen en wat inzichten voor andere organisaties die vergelijkbare doelen nastreven.
Even terug naar de normen. Wat houden deze in? De NEN 7510 is een Nederlandse norm die specifiek gericht is op informatiebeveiliging binnen de gezondheidszorg. De norm beschrijft eisen om de privacy en beveiliging van patiëntgegevens te waarborgen. De NEN 7510 stelt onder andere richtlijnen vast voor het beheer van medische gegevens, de toegangscontrole tot patiëntendossiers en het veilig delen van informatie tussen zorginstellingen, met als uiteindelijk doel de bescherming van de gezondheidsinformatie van patiënten.
De Baseline Informatiebeveiliging Overheid (BIO) is een Nederlandse norm die richtlijnen en best practices biedt voor informatiebeveiliging binnen de publieke sector. De BIO stelt strenge eisen en richtlijnen vast om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige overheidsinformatie te waarborgen. Het omvat onder andere maatregelen voor het beheren van toegangsrechten, het beveiligen van netwerken en systemen, en het vaststellen van incidentresponsprocedures.
Cuccibu heeft een nulmeting uitgevoerd om de GAP’s voor de implementatie op NEN 7510 en de BIO te identificeren en vast te stellen welke verbeterstappen nog nodig zijn. Avisi is reeds ISO 27001-gecertificeerd, dit maakt het voor Avisi sneller inzichtelijk in hoeverre zij al voldoen aan de NEN 7510 en de BIO. Beide normen zijn namelijk gebaseerd op ISO 27002. ISO 27002 is een aanvullende norm op de ISO 27001, die zich richt op de beheersmaatregelen waarmee een organisatie de geïdentificeerde risico’s kan beperken of verkleinen. De NEN 7510 bevat aanvullende beheersmaatregelen specifiek gericht op de zorgsector en de BIO bevat aanvullende overheidsmaatregelen.
De focus in deze nulmeting ligt op de aanvullende maatregelen. En dan?
Wat zijn enkele aanvullende maatregelen waar rekening mee gehouden dient te worden op basis van de NEN 7510?
En hoe zit dat bij de BIO?
De uitkomst van de nulmeting biedt Avisi een richtlijn over hoe ze hun beveiligings- en organisatorische maatregelen kunnen aanpassen om aantoonbaar te voldoen aan de eisen uit de NEN 7510 en de BIO.
Heb jij verdere vragen over één van de normen of benieuwd naar de mogelijkheden van een soortgelijk onderzoek als Max voor Avisi heeft uitgevoerd? Neem contact met ons op via sales@cuccibu.nl.
Of ben jij enthousiast geworden en zou je graag zelf een implementatie van de BIO en NEN7510 normering uitvoeren? Schakel dan met een van onze collega’s via recruitment@cuccibu.nl en we vertellen je graag meer over de werkzaamheden binnen Cuccibu.
Reduce Risk, Create Value!