Document toolboxDocument toolbox

In ontwikkeling

A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging


Norm

RationaleDeze maatregel borgt dat alle partijen elkaar tijdig op de hoogte brengen wanneer zij kennis hebben over kwetsbaarheden, die relevant kan zijn voor het MedMij stelsel. Het kan hier bijvoorbeeld gaan om informatie verkregen via het NCSC, penetratietesten of een Responsible Disclosure-melding). Zie ook A.12.6.1 Beheer van technische kwetsbaarheden.
Implementatie

Kwetsbaarheden en incidenten die betrekking hebben op persoonlijke gezondheidsgegevens of het functioneren van het MedMij stelsel MOETEN binnen 48 uur gemeld te worden bij het centrale incident management team. Zie Deelnemersovereenkomsten.

DVZA maken hierover zonodig afspraken met de aangesloten ZA's.

NEN 7510-1:2017A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging
NEN 7510:2011A.13.1.2 Rapportage van zwakke plekken in de beveiliging

Beoordeling

Auditmethode

  • Stel vast dat de organisatie in haar procedures aansluit op het proces van incidenten en calamiteiten en proces beheren technische kwetsbaarheden uit het afsprakenstelsel van MedMij.
  • Stel door middel van interview met de betrokken medewerkers en waar mogelijk onderbouwd met evidence vast of de procedures worden nageleefd.
  • Stel door middel van interview en evidence vast of de deelnemer alle ontdekte kwetsbaarheden tijdig heeft gemeld aan MedMij.

Verificatie

  • Welke procedures (incl. versienummers) zijn ingezien.
  • Met wie gesproken is ter bevestiging van de implementatie.
  • Evidence m.b.t. ontdekte kwetsbaarheden en tijdige melding aan MedMij.

Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie

In ontwikkeling