Wanneer je voldoet aan de ISAE 3402 norm wil je dit natuurlijk graag aantonen aan je klanten. Aan de ISAE 3402 certificering zit geen officieel certificaat gekoppeld, maar je kunt je inspanningen aantonen doormiddel van een assurance rapportage. In dit artikel vertellen we je meer over de inhoud van de audit en de verplichte onderdelen van de rapportage.

De ISAE 3402 certificeringseisen

Om te voldoen aan de ISAE 3402 dien je een ISAE 3402 rapportage te overleggen. De inhoud van een ISAE 3402 hoeft niet volgens een vaste vorm te worden beschreven, wel dienen er een aantal vaste onderdelen in terug te komen;

  • Een beschrijving van het control raamwerk
  • Een bevestiging van de service-organisatie
  • Een service auditor assurance rapport

Lees ook: ‘Is ISAE 3402 verplicht?

Kortom, je dient in het rapport terug te kunnen lezen waarop de ISAE 3402 rapportage is getoetst en welke maatregelen ervoor zorgen dat aan de criteria is voldaan. Deze maatregelen kunnen zich richten op bedrijfs-, IT security- én AVG-processen.

Handig stappenplan ISAE 3402 nodig?

Stap voor stap op weg naar ISAE 3402? Download dan geheel vrijblijvend dit handige Stappenplan ISAE 3402 en ontdek wat de stappen zijn op weg naar een succesvolle ISAE 3402 implementatie. Voor meer informatie, neem gerust contact met ons op!

DOWNLOAD STAPPENPLAN
ISAE 3402 stappenplan

Best practices

Om aan de ISAE 3402 eisen te voldoen dien je het ISAE-rapport volgens Nederlandse standaarden te voorzien van een aantal zogehete ‘best practices’. Een vooraf bepaalde indeling en de manier waarop de beheersmaatregelen (controls) beschreven kunnen worden staan hierbij centraal.

Onderstaande onderdelen staan in de best practice vernoemd;

  • Een algemene beschrijving
  • Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
  • Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
  • De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

 ISAE 3402 kent twee typen verklaringen, namelijk type 1 en type 2. De rapporten behorende bij deze typen verklaringen zijn inhoudelijk hetzelfde. Het verschil zit hem echter in de uitgevoerde controle.

Lees ook het artikel: ‘ISAE 3402 type 2 versus SOC: wat is het verschil?

Ondersteuning bij ISAE 3402?

Wanneer je het ISAE-rapport volgens de vastgestelde richtlijnen opstelt (eventueel samen met een adviseur), kun je de audit ISAE 3402 laten uitvoeren door een certificerende instantie. Gedurende de audit wordt de ISAE rapportage bekeken. Tevens toetst de auditor of alle maatregelen (controls) welke binnen de scope vallen zijn opgenomen en worden nageleefd.

De rapportage zal worden getoetst op een aantal vooraf vastgestelde richtlijnen. Wanneer uit de audit blijkt dat de rapportage voldoet aan de ISAE 3402 eisen, dan voorziet de auditor het rapport van een ‘assurance mededeling’. Dit is het bewijsstuk om aan te tonen dat je voldoet aan ISAE 3402, ook wel de ISAE 3402 certificering genoemd. Met een assurance rapportage geef je de klant zekerheid dat de maatregelen over een langere periode zijn uitgevoerd en dat risico’s zijn beheerst.

Lees ook het artikel: ‘De ISAE 3402 kosten in kaart gebracht

Ondersteuning bij ISAE 3402?

Wil je aan de slag met een ISAE 3402 verklaring, maar weet je niet waar je moet starten of heb je vragen? Neem dan gerust contact met ons op. Onze adviseur helpt je graag vooruit met de ISAE 3402.


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl