Een ISAE 3402 audit: zo gaat het in zijn werk
Een ISAE 3402 audit, hoe gaat dit in zijn werk? En wat zijn de certificeringseisen?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlWanneer je voldoet aan de ISAE 3402 norm wil je dit natuurlijk graag aantonen aan je klanten. Aan de ISAE 3402 certificering zit geen officieel certificaat gekoppeld, maar je kunt je inspanningen aantonen doormiddel van een assurance verklaring. In dit artikel vertellen we je meer over de inhoud van de audit en de verplichte onderdelen van de rapportage.
De ISAE 3402 certificeringseisen
Om te voldoen aan de ISAE 3402 dien je een ISAE 3402 rapportage te overleggen. De inhoud van een ISAE 3402 hoeft niet volgens een vaste vorm te worden beschreven, wel dienen er een aantal vaste onderdelen in terug te komen;
- Een beschrijving van het control raamwerk
- Een bevestiging van de service-organisatie
- Een service auditor assurance rapport
Kortom, in de ISAE 3402 rapportage is beschreven welke maatregelen en doelen er zijn om de risico’s op het gebied van cyberweerbaarheid te verlagen en deze zoveel mogelijk te weg te nemen.
Best practices
Om aan de ISAE 3402 eisen te voldoen dien je het ISAE-rapport volgens Nederlandse standaarden te voorzien van een aantal zogehete ‘best practices’. Een vooraf bepaalde indeling en de manier waarop de beheersmaatregelen (controls) beschreven kunnen worden staan hierbij centraal.
Onderstaande onderdelen staan in de best practice vernoemd;
- Een algemene beschrijving
- Hieronder valt o.a. een beschrijving van de organisatie
- Een beschrijving van het control raamwerk
- Het volledige risico raamwerk (doorgaans volgens COSO)
- Een control matrix
- De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)
ISAE 3402 kent twee typen verklaringen, namelijk type 1 en type 2. De rapporten behorende bij deze typen verklaringen zijn inhoudelijk hetzelfde. Het verschil zit hem echter in de uitgevoerde controle.
De ISAE 3402 audit
Wanneer je het ISAE-rapport volgens de vastgestelde richtlijnen opstelt (eventueel samen met een adviseur), kun je de audit ISAE 3402 laten uitvoeren door een certificerende instantie. Gedurende de audit wordt de ISAE rapportage bekeken. Tevens toetst de auditor of alle maatregelen (controls) welke binnen de scope vallen zijn opgenomen en worden nageleefd.
De rapportage zal worden getoetst op een aantal vooraf vastgestelde richtlijnen. Wanneer uit de audit blijkt dat de rapportage voldoet aan de ISAE 3402 eisen, dan voorziet de auditor het rapport van een ‘assurance mededeling’. Dit is het bewijsstuk om aan te tonen dat je voldoet aan ISAE 3402, ook wel de ISAE 3402 assurance genoemd. Met een assurance rapportage geef je de klant zekerheid dat de maatregelen over een langere periode zijn uitgevoerd en dat risico’s zijn beheerst.
Ondersteuning bij ISAE 3402?
Wil je aan de slag met een ISAE 3402 verklaring, maar weet je niet waar je moet starten of heb je vragen? Neem dan gerust contact met ons op. Onze adviseur helpt je graag vooruit met de ISAE 3402.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlHandig ISAE 3402 stappenplan nodig?
Download hem dan geheel vrijblijvend!
- Overzichtelijk
- Eenvoudige stappen
- Geheel vrijblijvend