Een ISAE 3402 audit: zo gaat het in zijn werk

Een ISAE 3402 audit, hoe gaat dit in zijn werk? En wat zijn de certificeringseisen?

ISAE 3402 audit
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wanneer je voldoet aan de ISAE 3402 norm wil je dit natuurlijk graag aantonen aan je klanten. Aan de ISAE 3402 certificering zit geen officieel certificaat gekoppeld, maar je kunt je inspanningen aantonen doormiddel van een assurance verklaring. In dit artikel vertellen we je meer over de inhoud van de audit en de verplichte onderdelen van de rapportage.

De ISAE 3402 certificeringseisen

Om te voldoen aan de ISAE 3402 dien je een ISAE 3402 rapportage te overleggen. De inhoud van een ISAE 3402 hoeft niet volgens een vaste vorm te worden beschreven, wel dienen er een aantal vaste onderdelen in terug te komen;

  • Een beschrijving van het control raamwerk
  • Een bevestiging van de service-organisatie
  • Een service auditor assurance rapport

Kortom, in de ISAE 3402 rapportage is beschreven welke maatregelen en doelen er zijn om de risico’s op het gebied van cyberweerbaarheid te verlagen en deze zoveel mogelijk te weg te nemen.

Best practices

Om aan de ISAE 3402 eisen te voldoen dien je het ISAE-rapport volgens Nederlandse standaarden te voorzien van een aantal zogehete ‘best practices’. Een vooraf bepaalde indeling en de manier waarop de beheersmaatregelen (controls) beschreven kunnen worden staan hierbij centraal.

Onderstaande onderdelen staan in de best practice vernoemd;

  • Een algemene beschrijving
  • Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
  • Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
  • De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

ISAE 3402 kent twee typen verklaringen, namelijk type 1 en type 2. De rapporten behorende bij deze typen verklaringen zijn inhoudelijk hetzelfde. Het verschil zit hem echter in de uitgevoerde controle.

De ISAE 3402 audit

Wanneer je het ISAE-rapport volgens de vastgestelde richtlijnen opstelt (eventueel samen met een adviseur), kun je de audit ISAE 3402 laten uitvoeren door een certificerende instantie. Gedurende de audit wordt de ISAE rapportage bekeken. Tevens toetst de auditor of alle maatregelen (controls) welke binnen de scope vallen zijn opgenomen en worden nageleefd.

De rapportage zal worden getoetst op een aantal vooraf vastgestelde richtlijnen. Wanneer uit de audit blijkt dat de rapportage voldoet aan de ISAE 3402 eisen, dan voorziet de auditor het rapport van een ‘assurance mededeling’. Dit is het bewijsstuk om aan te tonen dat je voldoet aan ISAE 3402, ook wel de ISAE 3402 assurance genoemd. Met een assurance rapportage geef je de klant zekerheid dat de maatregelen over een langere periode zijn uitgevoerd en dat risico’s zijn beheerst.

Ondersteuning bij ISAE 3402?

Wil je aan de slag met een ISAE 3402 verklaring, maar weet je niet waar je moet starten of heb je vragen? Neem dan gerust contact met ons op. Onze adviseur helpt je graag vooruit met de ISAE 3402.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Handig ISAE 3402 stappenplan nodig?

Download hem dan geheel vrijblijvend!

  • Overzichtelijk
  • Eenvoudige stappen
  • Geheel vrijblijvend

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields