Norm

Rationale	Deze maatregel borgt dat deelnemers in staat zijn tijdig te reageren op meldingen van (vermeende) kwetsbaarheden in het MedMij stelsel. Zie ook (v3.0.0) A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging.
Implementatie	De processen MOETEN aansluiten op de (v3.0.0) Operationele processen in het MedMij Afsprakenstelsel ten aanzien van het beheer van technische kwetsbaarheden. Dit dient te omvatten: Identificeren van kwetsbaarheden in de eigen technologie, onderzoeken van relevantie van door de beheerorganisatie geïdentificeerde kwetsbaarheden + terugkoppeling naar de beheerorganisatie hieromtrent; Het patchen van systemen of anderzijds mitigeren van de kwetsbaarheid; Het tijdig kunnen doorlopen van de gehele procedure bij hoog risico-kwetsbaarheden.
NEN 7510-1:2017	A.12.6.1 Beheer van technische kwetsbaarheden
NEN 7510:2011	A.12.6.1 Beheersing van technische kwetsbaarheden

Beoordeling

Auditmethode	Stel vast dat de organisatie in haar procedures aansluit op het proces van beheren van technische kwetsbaarheden uit het afsprakenstelsel van MedMij. Stel door middel van interview met de betrokken medewerkers vast of de procedures worden nageleefd.
Verificatie	Welke procedures (incl. versienummers) zijn ingezien. Met wie gesproken is ter bevestiging van de implementatie.

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie