Document toolboxDocument toolbox

(v3.0.0) A.12.6.1 Beheer van technische kwetsbaarheden


Norm

Rationale

Deze maatregel borgt dat deelnemers in staat zijn tijdig te reageren op meldingen van (vermeende) kwetsbaarheden in het MedMij stelsel.

Zie ook (v3.0.0) A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging.

Implementatie

De processen MOETEN aansluiten op de (v3.0.0) Operationele processen in het MedMij Afsprakenstelsel ten aanzien van het beheer van technische kwetsbaarheden.

Dit dient te omvatten:

  • Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden + terugkoppeling naar de beheerorganisatie hieromtrent;
  • Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid;
  • Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.
NEN 7510-1:2017A.12.6.1 Beheer van technische kwetsbaarheden
NEN 7510:2011A.12.6.1 Beheersing van technische kwetsbaarheden

Beoordeling

Auditmethode

  • Stel vast dat de organisatie in haar procedures aansluit op het proces van beheren van technische kwetsbaarheden uit het afsprakenstelsel van MedMij.
  • Stel door middel van interview met de betrokken medewerkers vast of de procedures worden nageleefd.

Verificatie

  • Welke procedures (incl. versienummers) zijn ingezien.
  • Met wie gesproken is ter bevestiging van de implementatie.


Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie