ISM GEEFT GRIP
OP IT-BEHEER

Woensdag 6 april kwamen enkele tientallen geïnteresseerden bijeen in Zwolle om zich te buigen over "het vraagstuk NEN7510", en de vraag hoe de ISM-methode daarbij van dienst kan zijn. Vier sprekers belichtten een specifieke invalshoek voor dit thema.

Het spits werd afgebeten door Jaap van der Wel, lid van de NEN-normcommissie 'Informatiebeveiliging in de zorg'. Jaap belichtte de historie van de norm die in veler ogen als "een overbodige norm" wordt beschouwd. De norm is ontstaan uit de British Standard 7799 (van 1994), die daarna evolueerde naar de internationale norm ISO/IEC27001. In 2004 werd van deze ISO-norm een Nederlandse vertaling naar de zorg afgeleid: NEN7510. De Nederlandse Vereniging van Ziekenhuizen (NVZ) stelde in 2010 een zeer beperkte subset van deze eisen vast in de vorm van een ‘voorlopige norm’. Tegen die laatste zijn in 2010 alle ziekenhuizen getoetst. De resultaten daarvan liggen nu bij de Inspectie voor de Volksgezondheid, die naar verwachting in de loop van 2011 met aanwijzingen zal komen. Tegelijkertijd wordt NEN7510 echter herzien – geen erg gelukkige timing. De eisen van de herziene norm komen bijna geheel weer overeen met die van ISO/IEC27001, waardoor we weer terug bij af zijn. In veler ogen dus nog steeds “een overbodige norm”. NEN probeert de herziene norm nog voor de zomer aan een publieke revisie te onderwerpen, zodat de norm dit najaar nog in kan gaan.

Een tweede invalshoek werd toegelicht door Henk Keijzer, lead auditor bij DEKRA Certification (waar KEMA Quality in is opgegaan). Henk belichtte de werkwijze bij een certificering en lichtte zeer praktisch toe waar de aandacht van een auditor naar uit gaat. In de eerste plaats telt daarbij het Information Security Management System (ISMS): dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico’s de informatiebeveiliging op de korrel neemt. Trefwoorden daarbij zijn procesgericht, risicoanalyse, beschikbaarheid, integriteit, vertrouwelijkheid (BIV), en een borging van voortdurende verbetering (PDCA). De certificering zelf wordt daarbij verdeeld in 3 fasen. In een voorbereidingsfase wordt eerst naar de scope en de werkwijze voor risicoanalyse gekeken, de Verklaring van Toepasselijkheid beoordeeld en een plan van aanpak vastgesteld. In de vervolgfase wordt de documentatie beoordeeld, waarna in de derde fase de implementatie van de gekozen werkwijze wordt beoordeeld. Het gehele traject heeft een gemiddelde doorlooptijd van drie maanden.

De derde invalshoek werd toegelicht door Jan van Bon, een van de ontwikkelaars van de ISM-methode. Hij beschreef kort ‘de krenten uit de pap’ van de ISM-methode, en illustreerde hoe ISM feitelijk een gestandaardiseerde invulling biedt voor het algemene managementsysteem waar het ISMS deel van uit maakt. Als een organisatie met ISM haar organisatie en besturing onder controle heeft gekregen, kan de methode worden ingezet voor elk kwaliteitsdoel waar de organisatie op dat moment haar zinnen op zet, zoals het halen van een NEN7510-certificaat. Jan beschreef de Cross-Reference ISM-NEN7510, waarin wordt geïllustreerd hoe de norm is samengesteld:

• 6 eisen zijn automatisch geregeld met de basisinvoering van ISM (denk aan processen zoals Change management en Incident Management). Hiervan zijn 2 eisen opgenomen in de voorlopige NVZ-norm.
• 84 eisen kunnen worden gerealiseerd met een directe toepassing van ISM-regelgeving op de specifieke doelen van de norm (denk aan toegangsbeheer, vastlegge van bevoegdheden, etc.). Hiervan zijn 19 eisen opgenomen in de voorlopige NVZ-norm.
• 24 eisen betreffen de realisatie van technische voorzieningen, die met het ISM-instrumentarium eenvoudig aan te sturen zijn (denk aan ‘clean screen’, onderhoud, virusscanners, etc.). Hiervan zijn 4 opgenomen in de voorlopige NVZ-norm.

Op deze wijze zijn 114 van de 125 eisen(paragrafen) met de ISM-methode te regelen. De resterende 11 eisen vallen geheel of in hoofdzaak buiten de bevoegdheid van IT-beheer, en daarmee buiten de directe scope van ISM. De realisatie daarvan valt dan wel niet binnen IT-beheer, maar is echter wel steeds aanstuurbaar vanuit het ISM-managementsysteem. Zo hebben vijf eisen betrekking op beleid, wat net als de overige kan worden geïnitieerd vanuit het Quality Management proces. Twee van deze vijf zijn opgenomen in de voorlopige NVZ-norm. Eén eis heeft betrekking op HRM en één op gebruik. Beide komen voor in de voorlopige NVZ-norm. En ten slotte hebben vier eisen betrekking op facilities. Ook deze vier komen voor in de voorlopige NVZ-norm.

Een belangrijke beperking van ISM ten aanzien van de norm ligt in het feit dat informatiebeveiliging veel verder gaat dan IT. Vooral in de zorg gaan nog enorme hoeveelheden informatie rond die zijn vastgelegd op papier of andere niet-digitale dragers. Deze informatiedragers vallen buiten de scope van IT-beheer, en daarmee buiten de scope van ISM.

Bert Moorlag, Senior Security Officer bij het UMCG, benadrukte dit laatste aspect. Omdat de verantwoordelijkheid voor informatiebeveiliging veel verder reikt dan IT-beheer lijkt het verstandig ook de aansturing op een andere plaats in de organisatie te beleggen. Het UMCG heeft te maken met een fors aantal normen waar verschillende onderdelen van de organisatie aan dienen te voldoen, variërend van ISO9001 voor algemeen kwaliteitsmanagement, tot zeer specifieke eisen op deelgebieden zoals NTA8009 (voor Patiëntveiligheid) en CCKL (voor Laboratoria). De organisatie kent dus al een cultuur van kwaliteitsbewustzijn, en heeft tal van maatregelen genomen om aan de kwaliteitseisen te voldoen. Deze ‘kwaliteitsinfrastructuur’ wordt nu aangevuld met de ISM-methode , die momenteel bij UMCG wordt ingevoerd. In fase II van die invoering wordt, vanaf mei, gebruik gemaakt van ISM bij de realisatie van de informatiebeveiligingsdoelstellingen.

Informatiebeveiliging is een belangrijk aspect voor het UMCG, waarbij het UMCG uitgaat van een managementsysteem. Het managementsysteem moet het UMCG in staat stellen om aan verschillende normen te voldoen (ISO 9001, ISO27001). NEN7510 wordt binnen het managementsysteem gebruikt om (naast de ISO27002 en op basis van een risicoanalyse) de controls (beheersmaatregelen) vast te stellen. Het UMCG houdt zich zowel met de nationale als internationale norm bezig.

De presentaties waren de inleiding tot een zeer levendige discussie, waarbij deelnemers uit zeer verschillende achtergronden ‘hun’ praktijk bespraken. In de discussie werd benadrukt dat niet alle beveiligingsmaatregelen die NEN7510 beschrijft hoeven te worden geïmplementeerd. Er dient steeds een passend beveiligingsniveau te worden geselecteerd, wat vervolgens moet worden geimplementeerd. Uitgangspunt daarbij is steeds een werkwijze gericht op kwaliteitsverbetering, in de vorm van het toepassen van een PDCA-cyclus. De avond werd afgesloten met de aankondiging van een werkgroep die zich bezig gaat houden met de ontwikkeling van een handleiding voor de wijze waarop de ISM-methode concreet kan worden gehanteerd om aan de eisen van NEN7510 te voldoen. Daarmee kunnen ISM-gebruikers dan vaststellen welke aspecten al bij de ISM-installatie in fase I meteen zijn geregeld, en hoe één of meer verbetercycli in fase II kunnen worden gebruikt voor de realisatie van de overige eisen – voor zover deze voor rekening kunnen worden gebracht van de IT-organisatie.