richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Gastenhuis/Voorstel Gastenhuis.md

4.7 KiB
Raw Blame History

tags created
client/Gastenhuis
2025-11-19

Aanleiding

Het Gastenhuis is als zorginstelling verplicht te voldoen aan de NEN 7510 en de NIS 2. Het management heeft vastgesteld dat er intern onvoldoende capaciteit is, om het managementsysteem op te zetten en de maatregelen te implementeren, waarmee aan die verplichting voldaan wordt. Daarom zoekt Het Gastenhuis projectbegeleiding en advisering met als doel een NEN 7510 certificering te behalen, en de aanvullende zaken te implementeren die nodig zijn vanuit de NIS 2.

Situatie

Het Gastenhuis biedt een liefdevol thuis aan mensen met dementie en recht op 24-uurs zorg. Kleinschalig, open en midden in de maatschappij met locaties door heel Nederland.”

Om dit te kunnen bieden heeft Het Gastenhuis er voor gekozen de 'overhead' zo klein mogelijk te houden. Dit uit zich onder andere in een, in verhouding, klein hoofdkantoor1 en aan de regio's gedelegeerde verantwoordelijkheden2. De werving van klanten en medewerkers, bijvoorbeeld, is decentraal belegd.

Als uitdagingen voor het implementeren van de NEN 7510 en de NIS 2 worden beleidsvorming genoemd en het beperkte zicht op risico's in de decentrale organisatie.

Relevante organisatiekenmerken

In het gesprek tussen René Leideritz, Mark Stevenaar en Richard Kranendonk op 11 juni jl. zijn de volgende zaken benoemd:

  • Het Gastenhuis heeft een ISO 9001 certificering voor haar kwaliteitsmanagement de organisatie is dus bekend met het systematisch en gedocumenteerd beheersen van risico's en heeft daarin een hoge procesvolwassenheid.
  • Er is ongeveer 400 man personeel, verdeeld over 30 locaties en het hoofdkantoor.
  • Besluiten worden genomen in het Operationeel MT, bestaande uit 4 regiomanagers o.l.v. de operationeel directeur.
  • Er is een Privacy Officer en een interne IT manager, die zich voornamelijk richt op het beheer van accounts, de Active Directory, en de implementatie van SSO.
  • De belangrijkste applicaties zijn AFAS-HR, Nedap-ONS en Axxerion.
  • Er zijn 2 applicatiebeheerders.
  • Het beheer van de werkplekken en de Microsoft omgeving is belegd bij Steenkamp Automatisering.
  • Eye Security levert IT-beveiligingsdiensten.

Uitgangspunten voorstel

Voor de implementatie van NEN 7510 en de NIS 2 binnen Het Gastenhuis stellen we de volgende uitgangspunten voor:

  • Procesgerelateerde risico's worden zoveel mogelijk opgepakt waar ze ontstaan: in de regio's; technische risico's worden centraal gemanaged.
  • Hiervoor wordt de Canvas Methode voor Informatieveiligheid ingezet, waarmee zowel centraal als decentraal een PDCA-cyclus3 voor voortdurende verbetering geïmplementeerd wordt.
  • Introductie van een eenvoudig rapportage-model voor zicht op decentrale risico's en maatregelen (onderdeel van de Canvas Methode).
  • Centrale beleidsvorming, gedragen door de regio's (via het Operationeel MT).
  • Hanteren van een groeimodel: starten met beleidsvorming en implementatie op onderwerpen waar de organisatie direct voordeel van heeft. Gaandeweg vullen we de details in conform Bijlage A / NEN 7510-2.
  • Werken met wat er al is: op veel onderdelen zal al werk verricht zijn (bijv. vanuit ISO 9001), we gebruiken dat om verder op te bouwen.

De scope van het bovenstaande is uiteraard informatieveiligheid.

Aanpak

  • Context
    • functieboek
    • processenboek
    • applicatielandschap
    • governance model
    • Asset inventarisatie
  • Strategie
    • risicobereidheid
  • Risico-inventarisatie
    • gebruik van openbare dreigingsanalyses en best practices
    • interviews met stakeholders
  • Inventarisatie 'prior work'

Ontwikkelaanpak

We doen een risicoanalyse. We schrijven op hoe we dat gedaan hebben, en wie er verantwoordelijk is. (Daarbij sluiten we aan op wat er al aan rollen in de organisatie beschreven is) Dan hebben we een Beleid Risico analyse. Daarin staat ook periodiek gaan herhalen, dat schrijven we op de kalender

Zelfde voorbeeld voor data classificatie

Waarom schrijf ik steeds we? Isms is cyclus. Dat betekent dat jullie de activiteiten periodiek moeten herhalen, en dus zelf moeten kunnen uitvoeren (als je overhead wil besparen). De beste manier is jullie actief te betrekken in de totstandkoming. Ook voor het draagvlak en vergroten van awareness en eigenaarschap

Door de inzet van de Canvas Methode voor Informatieveiligheid ontstaat ook het bewustzijn van de noodzaak van de maatregelen, het belang daarvan voor de continuiteit en de zorg, dichtg op de eigen processen, en eigenaarscahp.

Plaatje

Opmerking: naamgeving en indeling zijn licht gewijzigd voor de duidelijkheid van dit diagram

Bijlage: de Canvas Methode voor Informatieveiligheid

  1. ca. 30 medewerkers in Amsterdam. ↩︎

  2. thans 4 regio's en evenzoveel regiodirecteuren. ↩︎

  3. Plan - Do - Check - Act, ook wel de Deming Cyclus ↩︎