De verschillen tussen ISO 27001 en NEN 7510

Vragen uw klanten of gegevens veilig zijn bij uw organisatie? Of vragen leveranciers of stakeholders welke maatregelen u heeft getroffen op het gebied van informatiebeveiliging? En hoe, laat u aan hen zien dat u correct omgaat met deze vertrouwelijke gegevens? Dit kan met een certificering op het gebied van informatiebeveiliging. Sparren met een expert? >

U heeft vast al eerder gehoord over normen als ISO/IEC 27001 en NEN 7510, maar wat houdt het in, wat zijn de verschillen en waar staan al die afkortingen voor?

De afkortingen

ISO staat voor International Organization for Standardization en IEC voor International Elektrotechnical Commission. Waar ISO zich richt op normen voor kwaliteitsmanagementsystemen, product-, materiaal en constructie normeringen, richt IEC zich met name op alle internationale normen voor elektrische, elektronische en aanverwante technologieën. Deze organisaties samen publiceerden de ISO/IEC 27001 norm. In Nederland wordt de norm ook nog wel eens NEN-ISO/IEC 27001 genoemd. NEN is de afkorting van NEderlandse Norm. Het Nederlands Normalisatie-instituut beheert de in Nederland aanvaarde internationale (ISO, IEC), Europese (EN) en nationale normen (NEN).

Waarom zijn er normen voor informatiebeveiliging?

Informatiebeveiliging staat sterk in de belangstelling. Veel organisaties hebben dagelijks te maken met vertrouwelijke en/of privacygevoelige gegevens. Het is essentieel dat deze informatie ‘niet op straat komt te liggen’. Enerzijds omdat u de gegevens van uw klanten wilt beschermen en anderzijds omdat wet- en regelgeving op dit gebied steeds strenger worden. Met de normen op het gebied van informatiebeveiliging kunt uw organisatie laten zien op een verantwoorde wijze om te gaan met vertrouwelijke gegevens. Daarnaast helpt het om de vertrouwelijkheid, beschikbaarheid en integriteit van de gegevens te beschermen. Met de normen kunt u op basis van een risicoanalyse beheersmaatregelen implementeren en de normen geven eisen voor het opzetten van een Information Security Management System (ISMS). Dit managementsysteem kunt u laten toetsen door middel van een audit door een certificerende instelling (CI) volgens de ISO 27001 of NEN 7510 norm. Wanneer uit de audit blijkt dat uw systeem en processen op orde zijn ontvangt u hiervoor een certificaat. Dit certificaat is uw aantoonbare bewijs dat uw organisatie informatiebeveiliging op orde heeft. Dit kunt u dan vervolgens gebruiken in aanbestedingen of eisen van klanten of stakeholders.

ISO 27001

Met de ISO 27001 certificering laten organisaties zien dat zij de juiste beheersmaatregelen treffen om gegevens te beveiligingen, door de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens te waarborgen. De ISO 27001 norm is dé wereldwijde standaard voor informatiebeveiliging. De basis hiervoor is de implementatie van een informatiebeveiligingsmanagementsysteem, waarin aan de hand van een risicoanalyse wordt vastgelegd welke beheers- en borgingsmaatregelen de organisatie heeft getroffen met betrekking tot informatiebeveiliging.

NEN 7510

NEN 7510 is een norm ontwikkeld door het Nederlands Normalisatie-instituut voor informatiebeveiliging in de zorgsector in Nederland. In deze norm worden maatregelen beschreven die zorginstellingen en toeleveranciers moeten nemen om op adequate wijze met patiëntgegevens om te gaan. Deze maatregelen zorgen ervoor dat informatiebeveiliging een gecontroleerd proces wordt en betrekking hebben op alle verschijningsvormen waarin patiëntgegevens zijn vastgelegd. De beveiligingseisen gelden voor de informatie binnen de zorginstelling, maar ook voor de informatie die organisaties onderling uitwisselen.

ISO 27001 vs NEN 7510

  • De basis van beide normen is exact hetzelfde maar…
    • NEN 7510 heeft 3 extra beheersmaatregelen ten opzichte van ISO 27001.
    • NEN 7510 heeft voor 33 bestaande beheersmaatregelen een zorg specifieke beheersmaatregel benoemd.
  • De focus bij NEN 7510 ligt specifiek op organisaties die persoonlijke gezondheidsinformatie verwerken, dit is niet bij ISO 27001.

Voor welke organisaties is een ISMS-certificering relevant?

De NEN 7510 certificering is met name geschikt voor organisaties die persoonlijke gezondheidsinformatie verwerken zoals ICT-dienstverleners, applicatieontwikkelaars (PGO’s) in de zorg en natuurlijk de zorginstellingen zelf. De ISO 27001 certificering is geschikt voor alle organisaties die informatiebeveiliging structureel willen waarborgen. Maar met name belangrijk voor ICT-bedrijven, als datacenters, systeembeheerders, softwareleveranciers, datamarketingbureaus .

Gratis kennissessies

Periodiek organiseren wij gratis kennissessies die dieper ingaan op de normen en de verschillen hiervan. Schrijf in voor de sessie “ISMS in het algemeen“.

Trainingen

Wilt u meer informatie over de normen of de implementatie hiervan? Volg dan een introductie of implementatie training waarin de normen volledig worden toegelicht en u inzicht geeft in de implementatie. Bekijk de trainingen over informatiebeveiliging.

Wist u dat…

U zich ook kan laten certificeren voor een combinatie van ISO 27001 en NEN 7510 wanneer er informatiebeveiliging aangetoond moet worden aan de organisaties buiten de zorgsector, maar wanneer er ook met persoonlijke gezondheidsinformatie gewerkt wordt? Door de audit voor deze twee normen in één keer te doorlopen  bespaart u veel tijd en kosten en heeft u uw informatiebeveiliging zichtbaar in orde gebracht voor al uw stakeholders en/of klanten.

Wilt u meer weten over ISO 27001 en/of NEN 7510? Wij helpen u graag! U kunt vrijblijvend contact opnemen via +31 (0)73 – 782 01 of vul hieronder het contactformulier in.