NEN 7510

Статья
01/31/2024

Общие сведения о NEN 7510

Организации Нидерландов, обрабатывающие сведения о здоровье пациентов, должны продемонстрировать, что управление данными и организацией соответствует требованиям, определенным в стандарте NEN 7510. На саму корпорацию Майкрософт не распространяется действие NEN 7510, но ее облачные клиенты в отрасли здравоохранения должны соблюдать требования NEN 7510 в отношении решений, созданных на основе Microsoft Cloud. Облачные службы Майкрософт подвергаются различным регулярным сертификациям и аудитам, некоторые из которых включают элементы, тесно связанные с требованиями стандарта NEN 7510.

Майкрософт и NEN 7510:2011

Корпорация Майкрософт проанализировала текущие сертификаты и гарантийные заявления и создала отчет о применении NEN 7510 (доступный на платформе Service Trust), в котором эти сертификаты и гарантийные заявления сопоставлены со средствами контроля NEN 7510, находящимися в ведении Майкрософт в качестве поставщика облачных служб. Этот документ помогает клиентам определить, какие прочие средства контроля требуется реализовать, чтобы обеспечить соответствие облачных служб Майкрософт для хранения или обработки сведений о здоровье пациента стандарту NEN 7510.

Узнайте, как ускорить развертывание стандарта NEN 7510 с помощью схем обеспечения безопасности и соответствия требованиям в Azure: скачайте руководство пользователя по применению стандарта NEN7510-2011 в Azure и Office 365 Azure для Microsoft Cloud.

Затрагиваемые облачные платформы и службы Майкрософт

Azure и Azure для государственных организаций
Intune
Office 365

Office 365 и ISO 27001

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость	Затрагиваемые службы
Коммерческий сектор	Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To- Do for Web, MyAnalytics, Office 365 Cloud App Security, группы Office 365, OneDrive для бизнеса,Планировщик, Power Apps, Power Automate, Power BI для Office 365, PowerApps, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage

Применимость

Затрагиваемые службы

Коммерческий сектор

Azure Information Protection, Bookings, Delve, Exchange Online, Exchange Online Protection, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To- Do for Web, MyAnalytics, Office 365 Cloud App Security, группы Office 365, OneDrive для бизнеса,Планировщик, Power Apps, Power Automate, Power BI для Office 365, PowerApps, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage

Аудит, отчеты и сертификаты

Применение стандарта NEN 7510:2011 в Azure и Office 365

Вопросы и ответы

Соответствует ли клиент, использующий облачные службы (Майкрософт), требованиям NEN 7510?

Демонстрация соответствия стандарту NEN входит в обязанности здравоохранительной организации ("клиент"). При использовании поставщика облачных служб клиенты, как правило, требуют гарантий от поставщика и добавляют собственные (прочие) технологические и организационные решения, параметры и процессы. Эти усилия отражаются в общей оценке клиентом своего соответствия стандарту NEN 7510, которая может быть отправлена на проверку или сертификацию стороннему аудитору. В отчете о применении NEN 7510 представлены сведения о том, какие средства контроля NEN 7510 относятся к облачным службам (Майкрософт). Но в нем не рассматривается комплексное соответствие требованиям.

Майкрософт соблюдает требования стандарта NEN 7510?

Ответственность за соблюдение стандарта NEN 7510 несут организации здравоохранения Нидерландов. Для этого организации требуется внедрить систему управления безопасностью информации и устранять риски с помощью соответствующих технических и организационных мер. Для корпорации Майкрософт в роли поставщика облачных служб соблюдение стандарта NEN 7510 не является целью и технически необоснованно. Если клиент внедряет или использует облачные службы (Майкрософт), эти службы могут включаться в оценку соответствия NEN 7510. Однако организация должна добавить собственные (прочие) средства контроля, параметры и процессы, включаемые в общую оценку соответствия NEN 7510. Цель отчета — продемонстрировать, что объект здравоохранения может использовать облачные службы (Майкрософт) с соблюдением требований стандарта NEN 7510.

В отчете не отображается 100 % охвата. Является ли соответствие NEN 7510 нецелесообразным?

Облачные службы (Майкрософт) предоставляют множество средств контроля, помогающих организациям здравоохранения в Нидерландах соблюдать требования NEN 7510. Однако организации должны дополнить эти гарантии поставщика собственными решениями реализации, прочими технологическими средствами контроля и административными процессами. В отчете уже отображается уровень непосредственного применения 94 % для полного списка соответствующих средств контроля. Для остальных средств контроля корпорация Майкрософт предоставляет в отчете рекомендации о способе демонстрации их соответствия требованиям.

Примечание.

Внедрение полного списка средств контроля не является основной целью NEN 7510 (хотя большой охват служб Microsoft Online Services предпочтителен). Стандарт NEN 7510 требует внедрения системы безопасности данных на основе риска, которую можно использовать в организации, чтобы определять нужные средства контроля.

Отчет о применения NEN 7510 является юридически обязывающим документом?

Нет. Это вспомогательное средство для внутреннего процесса клиента по обеспечению соответствия NEN 7510, помогающее создать уверенность в осуществимости соответствия стандарту NEN 7510. Отчет (созданный независимым аудитором KPMG) содержит описательное состояние и включает юридическое заявление об отказе от ответственности.

Оплачивает ли корпорация Майкрософт этот отчет?

Корпорация Майкрософт создала сопоставление между своими глобальными гарантиями и средствами контроля в стандарте NEN 7510. Корпорация Майкрософт затем наняла KPMG (независимого аудитора) для независимой проверки соответствия средств контроля стандарту NEN 7510, итоги которой представлены в отчете.

Можно ли делиться этим отчетом?

Этот отчет предоставляется вам в рамках соглашения о неразглашении (NDA) при условии его применения только для клиентских сведений и с запретом копирования или раскрытия посредством других каналов, кроме портала Microsoft Service Trust Portal.

Клиенты могут предоставлять общий доступ к отчету внутреннему или внешнему аудитору в рамках соответствующих процессов обеспечения соответствия требованиям или гарантий.