Monitoren, meten, analyseren en evalueren (NEN 7510-1, H9.1)
Versie 1.0.0 - juni 2026
Dit document legt vast wat Remedice monitort en meet om de prestaties van de informatiebeveiliging en de doeltreffendheid van het ISMS te evalueren. Het voldoet aan NEN 7510-1:2024, paragraaf 9.1.
Status
Certificering is in voorbereiding. De onderstaande indicatoren zijn vastgesteld; de meetresultaten worden vastgelegd als bewijs en besproken in de management review.
1. Wat wordt gemonitord en gemeten (H9.1 a)
Remedice monitort processen en beheersmaatregelen voor informatiebeveiliging via:
- CloudWatch (logs en metrics) voor applicatie- en infrastructuurgedrag;
- Audit logging (clinical/auth/beheer/ai/operationeel) voor toegang en beveiligingsgebeurtenissen;
- CI-poorten (bandit, ruff, tests) voor kwetsbaarheden en kwaliteit in de codebasis;
- Sentry / CSP-report-endpoint voor fouten en beleidsovertredingen.
2. Kernindicatoren (KPI's)
| KPI | Methode (H9.1 b) | Wanneer (H9.1 c) | Doel |
|---|---|---|---|
| Aantal HIGH-severity beveiligingsincidenten | Telling uit audit logs / incidentenregister | Maandelijks | Trend bewaken; 0 onbehandeld |
| Doorlooptijd afhandeling incidenten | Tijd tussen detectie en sluiting | Per incident | Binnen afgesproken SLA |
| Mislukte loginpogingen en lockouts | Audit-events auth.* |
Maandelijks | Afwijkende pieken detecteren |
| Loggroepen zonder retentie | Geautomatiseerde check (describe-log-groups) |
Per kwartaal | 0 |
| Openstaande kritieke kwetsbaarheden (CVE) | bandit + ECR-scan + afhankelijkheden | Per release | 0 onbehandeld boven termijn |
| Aurora-back-up/PITR-status | Terraform-/AWS-controle | Per kwartaal | Conform retentiebeleid |
| Voortgang ISMS-doelstellingen | Statusreview | Per management review | Op schema |
| Open afwijkingen en corrigerende maatregelen | Afwijkingenregister | Per management review | Trend dalend |
3. Methoden, verantwoordelijkheid en analyse (H9.1 b, d, e, f)
- Methoden zijn zo gekozen dat resultaten vergelijkbaar en reproduceerbaar zijn (vaste queries, geautomatiseerde checks waar mogelijk).
- Wie meet en monitort: de verantwoordelijke voor informatiebeveiliging (zie Leiderschap & rollen).
- Wanneer geanalyseerd en geevalueerd: maandelijks op operationeel niveau, en geconsolideerd in de jaarlijkse management review.
- Wie analyseert en evalueert: de verantwoordelijke voor informatiebeveiliging, met besluitvorming door het topmanagement.
4. Gedocumenteerde informatie
De meetresultaten worden bewaard als bewijs (CloudWatch-retentie, incidentenregister, KPI-overzicht per management review).
5. Review
De set indicatoren wordt jaarlijks herzien tijdens de management review en bijgesteld als de risico's of doelstellingen wijzigen.