Informatiebeveiligings-doelstellingen (NEN 7510-1, H6.2)
Versie 1.0.0 - juni 2026
Dit document legt de meetbare informatiebeveiligings-doelstellingen van Remedice vast en de planning om ze te bereiken. Het voldoet aan NEN 7510-1:2024, paragraaf 6.2.
Status
Certificering is in voorbereiding. De doelstellingen hieronder zijn vastgesteld voor de eerste ISMS-cyclus. De resultaten worden gemonitord (zie Monitoren & meten) en beoordeeld in de management review.
1. Uitgangspunten
De doelstellingen zijn consistent met het informatiebeveiligingsbeleid, houden rekening met de van toepassing zijnde eisen en de resultaten van de risicobeoordeling, zijn meetbaar (waar praktisch uitvoerbaar), worden gemonitord en gecommuniceerd, en worden geactualiseerd wanneer de situatie daarom vraagt. Ze zijn beschikbaar als gedocumenteerde informatie.
2. Doelstellingen eerste cyclus
Voor elke doelstelling geldt: wat wordt bereikt, wie verantwoordelijk is, wanneer het af is, welke middelen nodig zijn, en hoe het resultaat wordt geevalueerd.
| # | Doelstelling | Meetbare indicator | Verantwoordelijk | Termijn | Evaluatie |
|---|---|---|---|---|---|
| D1 | NEN 7510-certificering behalen | Certificaat NCS 7510 afgegeven | Verantwoordelijke informatiebeveiliging | Binnen 12 maanden | Status in elke management review |
| D2 | Onafhankelijke beveiligingsbeoordeling laten uitvoeren | Externe penetratietest uitgevoerd en bevindingen behandeld | Verantwoordelijke informatiebeveiliging | Voor certificering | Rapport + behandelde bevindingen |
| D3 | Geregistreerde back-up-hersteltest inrichten | Ten minste 1 succesvolle, gedocumenteerde hersteltest | Verantwoordelijke informatiebeveiliging | Binnen 6 maanden | Hersteltest-verslag |
| D4 | Geen onbehandelde HIGH-severity beveiligingsincidenten | 100% van HIGH-incidenten binnen SLA behandeld | Verantwoordelijke informatiebeveiliging | Doorlopend | KPI in Monitoren & meten |
| D5 | Alle audit-loggroepen met expliciete retentie | 0 loggroepen zonder retentie | Verantwoordelijke informatiebeveiliging | Doorlopend | Kwartaalcheck (geautomatiseerd) |
| D6 | Tijdige patching van kritieke kwetsbaarheden | Kritieke CVE's verholpen binnen afgesproken termijn | Verantwoordelijke informatiebeveiliging | Doorlopend | KPI uit kwetsbaarhedenbeheer |
| D7 | Volledige interne ISMS-audit en management review | 1 interne audit + 1 management review uitgevoerd | Verantwoordelijke informatiebeveiliging | Binnen 12 maanden | Auditverslag + reviewverslag |
3. Planning per doelstelling
Voor elke doelstelling wordt vastgelegd:
- wat er zal worden gedaan;
- welke middelen nodig zijn;
- wie verantwoordelijk is;
- wanneer het zal zijn voltooid;
- hoe de resultaten worden geevalueerd.
Deze planning wordt bijgehouden naast dit document en is input voor de management review. De voortgang per doelstelling wordt daar besproken en zo nodig bijgesteld.
4. Review
De doelstellingen worden ten minste jaarlijks herzien tijdens de management review, en geactualiseerd na significante wijzigingen of na het behalen van een doelstelling.