Annex A — Alle 101 beheersmaatregelen
Volledig overzicht van alle beheersmaatregelen uit NEN 7510:2024. Elke zorgaanbieder moet per maatregel beoordelen of deze van toepassing is en vastleggen in een Verklaring van Toepasselijkheid (VvT).
Organisatorisch
A.5 — 43 controls (waarvan 6 zorgspecifiek)Beleid voor informatiebeveiligingzorgsupplement
Policies for information security
Rollen en verantwoordelijkheden voor informatiebeveiliging
Information security roles and responsibilities
Scheiding van taken
Segregation of duties
Directieverantwoordelijkheden
Management responsibilities
Contact met overheidsinstanties
Contact with authorities
Contact met speciale belangengroepen
Contact with special interest groups
Dreigingsinformatie
Threat intelligence
Informatiebeveiliging in projectbeheer
Information security in project management
Inventarisatie van informatie en bijbehorende bedrijfsmiddelenzorgsupplement
Inventory of information and other associated assets
Aanvaardbaar gebruik van informatie en bedrijfsmiddelen
Acceptable use of information and other associated assets
Teruggeven van bedrijfsmiddelenzorgsupplement
Return of assets
Classificatie van informatiezorgsupplement
Classification of information
Informatie labelen
Labelling of information
Informatietransportzorgsupplement
Information transfer
Toegangsbeveiligingzorgsupplement
Access control
Identiteitsbeheerzorgsupplement
Identity management
Authenticatie-informatie
Authentication information
Toegangsrechten
Access rights
Informatiebeveiliging in leveranciersrelaties
Information security in supplier relationships
Informatiebeveiliging in leveranciersovereenkomsten
Addressing information security within supplier agreements
Informatiebeveiliging in de ICT-toeleveringsketen
Managing information security in the ICT supply chain
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Monitoring, review and change management of supplier services
Informatiebeveiliging voor gebruik van clouddiensten
Information security for use of cloud services
Planning en voorbereiding van incidentbeheer
Information security incident management planning and preparation
Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
Assessment and decision on information security events
Respons op informatiebeveiligingsincidenten
Response to information security incidents
Lering uit informatiebeveiligingsincidenten
Learning from information security incidents
Verzamelen van bewijsmateriaal
Collection of evidence
Informatiebeveiliging tijdens verstoring
Information security during disruption
ICT-gereedheid voor bedrijfscontinuiteit
ICT readiness for business continuity
Wettelijke, statutaire, regelgevende en contractuele eisen
Legal, statutory, regulatory and contractual requirements
Intellectuele-eigendomsrechten
Intellectual property rights
Bescherming van registraties
Protection of records
Privacy en bescherming van persoonsgegevenszorgsupplement
Privacy and protection of PII
Onafhankelijke beoordeling van informatiebeveiliging
Independent review of information security
Naleving van beveiligingsbeleid en -normen
Compliance with policies, rules and standards
Gedocumenteerde bedieningsprocedures
Documented operating procedures
Analyse en specificatie van informatiebeveiligingseisenHLT
Information security requirements analysis and specification
Zorgontvangers op unieke wijze identificerenHLT
Uniquely identifying subjects of care
Validatie van weergegeven/afgedrukte gegevensHLT
Validation of displayed/printed data
Openbaar beschikbare gezondheidsinformatieHLT
Publicly available health information
Communicatie in noodsituatiesHLT
Emergency communication
Incidenten extern meldenHLT
External incident reporting
Personeel
A.6 — 9 controls (waarvan 1 zorgspecifiek)Screening
Screening
Arbeidsvoorwaarden
Terms and conditions of employment
Bewustzijn, opleiding en training informatiebeveiligingzorgsupplement
Information security awareness, education and training
Disciplinaire procedure
Disciplinary process
Verantwoordelijkheden bij beeindiging of wijziging dienstverband
Responsibilities after termination or change of employment
Vertrouwelijkheids- of geheimhoudingsovereenkomsten
Confidentiality or non-disclosure agreements
Telewerken
Remote working
Rapportage van informatiebeveiligingsgebeurtenissen
Information security event reporting
ManagementtrainingHLT
Management training
Fysiek
A.7 — 14 controlsFysieke beveiligingszones
Physical security perimeters
Fysieke toegangsbeveiliging
Physical entry
Kantoren, ruimten en faciliteiten beveiligen
Securing offices, rooms and facilities
Fysieke beveiligingsmonitoring
Physical security monitoring
Bescherming tegen fysieke en omgevingsbedreigingen
Protecting against physical and environmental threats
Werken in beveiligde gebieden
Working in secure areas
Clear desk en clear screen
Clear desk and clear screen
Plaatsing en bescherming van apparatuur
Equipment siting and protection
Beveiliging van bedrijfsmiddelen buiten het terrein
Security of assets off-premises
Opslagmedia
Storage media
Nutsvoorzieningen
Supporting utilities
Beveiliging van bekabeling
Cabling security
Onderhoud van apparatuur
Equipment maintenance
Veilig verwijderen of hergebruiken van apparatuur
Secure disposal or re-use of equipment
Technologisch
A.8 — 35 controls (waarvan 1 zorgspecifiek)Gebruikersapparaten
User endpoint devices
Speciale toegangsrechten
Privileged access rights
Beperking toegang tot informatie
Information access restriction
Toegang tot broncode
Access to source code
Beveiligde authenticatiezorgsupplement
Secure authentication
Capaciteitsbeheer
Capacity management
Bescherming tegen malware
Protection against malware
Beheer van technische kwetsbaarheden
Management of technical vulnerabilities
Configuratiebeheer
Configuration management
Verwijdering van informatie
Information deletion
Datamaskering
Data masking
Voorkoming van datalekken
Data leakage prevention
Back-up van informatiezorgsupplement
Information backup
Redundantie van informatieverwerkende faciliteiten
Redundancy of information processing facilities
Loggingzorgsupplement
Logging
Monitoring
Monitoring activities
Kloksynchronisatie
Clock synchronization
Gebruik van speciale systeemhulpmiddelen
Use of privileged utility programs
Software installeren op operationele systemen
Installation of software on operational systems
Netwerkbeveiliging
Networks security
Beveiliging van netwerkdiensten
Security of network services
Scheiding in netwerken
Segregation of networks
Webfiltering
Web filtering
Gebruik van cryptografie
Use of cryptography
Levenscyclus van beveiligde ontwikkeling
Secure development life cycle
Beveiligingseisen voor toepassingen
Application security requirements
Beveiligde systeemarchitectuur en engineeringprincipes
Secure system architecture and engineering principles
Veilig coderen
Secure coding
Beveiligingstesten bij ontwikkeling en acceptatie
Security testing in development and acceptance
Uitbestede ontwikkeling
Outsourced development
Scheiding van ontwikkel-, test- en productieomgevingen
Separation of development, test and production environments
Wijzigingsbeheer
Change management
Testinformatie
Test information
Bescherming van informatiesystemen bij audits
Protection of information systems during audit testing
Zero trust-beginselenHLT
Zero trust principles
101 maatregelen beoordelen is veel werk
NENHulp helpt je om in 15 minuten een nulmeting te doen en automatisch een concept-VvT te genereren voor jouw praktijk.