Risicoanalyse informatiebeveiliging voor zorginstellingen

Schema Risico AnalyseDe toezichthouders Inspectie Gezondheidzorg en College Bescherming Persoonsgegevens eisen dat zorginstellingen, in het kader van het op orde brengen van de informatieprocessen, een Risicoanalyse Informatiebeveiliging uit te (laten) voeren volgens een geaccepteerde methode.

Er zijn verschillende methoden. Wij voeren graag voor u een Risicoanalyse Informatiebeveiliging uit volgens het patroon van de Afhankelijkheden en Kwetsbaarheden analyse (A en K analyse) zoals door de overheid werd uitgewerkt in het kader van het Voorschrift Informatiebeveiliging Rijksdienst (VIR 1994).

In de Risicoanalyse Informatiebeveiliging wordt eerst geïnventariseerd welke processen, informatiesystemen of andere delen van de informatievoorziening echt belangrijk zijn voor de organisatie. Hierbij worden vragen beantwoord zoals "Hoe lang mag het systeem (of proces) maximaal uitvallen?", "Hoe erg is het als het toch langer is?", "Bestaat er gevaar als er fouten in de gegevens zitten?" en "Wat gebeurt er als de gegevens uitlekken?".

Vervolgens worden aan de hand van verschillende checklists, gebaseerd op normen zoals de NEN 7510, de NVZ Startnorm en de ISO 27001, geïnventariseerd welke maatregelen er allemaal zijn genomen. Deze maatregelen worden beoordeeld en gewogen. Bij de maatregelen horen vragen als "Is een informatiebeveiligingsbeleid vastgelegd?", "Is er een continuïteitsplan?", "Is het autorisatiebeheer op orde?", "Zijn de rechten en de verantwoordelijkheden goed belegd?" en "Hoe werken beleid en plannen in de praktijk?".

De Afhankelijkheden en de maatregelen worden met elkaar geconfronteerd en zo worden de Kwetsbaarheden inzichtelijk. 

De Toezichthouders accepteren deze vorm van Risicoanalyse in een verplichte audit informatiebeveiliging.

Een duidelijke brochure is op aanvraag beschikbaar beschikbaar.