De International Standard for Assurance Engagements ISAE 3402
Organisaties besteden steeds meer, vaak cruciale, processen uit, met name op het gebied van IT. Wanneer dat het geval is dan willen organisaties ook graag weten op welke manier de informatie wordt beveiligd. Het is immers belangrijk dat je als organisatie weet hoe autorisaties zijn ingeregeld en welke maatregelen er zijn getroffen om bijvoorbeeld fraude te voorkomen. Een ISAE 3402 verklaring geeft inzicht in dit soort zaken. ISAE 3402 is een audit standaard voor rapportage over de beheersing van processen die zijn uitbesteed.
Van advies tot opleidingen en van outsourcing tot audits; wij bieden een breed scala aan diensten aan om je organisatie en mensen te helpen groeien en succesvol te certificeren. Ontdek hoe we je kunnen ondersteunen bij jouw vraagstuk.
De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3402 leidt overigens niet tot een (ISO) certificaat.
Behalen ISAE 3402 verklaring
Er zijn twee typen ISAE 3402 verklaringen; namelijk een type 1 en een type 2 verklaring. In de type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen van het certificaat. Om de type 1 verklaring af te geven zal er door de auditor gekeken worden of de beschrijving van het ISAE-rapport overeenkomt met de werkelijke situatie.
Aan de type 2 verklaring hangt een periode van zes maanden vast. Het is de bedoeling dat de organisatie bewijslast verzamelt over een proces of tool (die binnen de scope valt) met de daarbij behorende risico’s en maatregelen. Er wordt door de auditor gekeken naar de wijze waarop de maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.
Systemen voor informatiebeveiliging
Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.
“Het traject was heel ‘Lean & Mean’, met een perfecte verhouding tussen kwaliteit, uitstraling, kosten en resultaat!”
“Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”
“Het voordeel van CertificeringsAdvies Nederland (CAN) is de flexibiliteit die ons geboden wordt. Daarnaast zijn de trainingen maatwerk. Daardoor bevatten de trainingen input vanuit onze eigen praktijkervaringen. Inmiddels loopt de samenwerking met CAN al jaren naar tevredenheid.”
“Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”
“De presentatie van de trainer was goed. Er zat een duidelijke structuur in en je merkte echt dat er voorafgaand aan de training met elkaar gecommuniceerd is. De goede voorbereiding en communicatie vooraf hebben ervoor gezorgd dat de training zelf erg prettig en soepel is verlopen.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen vanwege de no-nonsense aanpak, korte lijnen en goed advies. Het is prettig dat CAN tastbare targets nastreeft en zegt waar het overgaat in plaats van het volgen van theoretische modellen.”
“Ik ben erg tevreden over het gehele traject met CertificeringsAdvies Nederland. Wat ik erg positief vond is dat er vooraf contact is geweest met de trainer. Onze input was tijdens de training terug te horen. Dat vind ik heel belangrijk, dat is echt maatwerk!”
“We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”
“Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”
“We kennen CertificeringsAdvies Nederland al een langere tijd en zijn zeer tevreden over de eerder uitgevoerde trajecten op het gebied van veiligheid. Toen we behoefte hadden aan een VCA examentraining op maat, op onze eigen locatie, werd er goed met ons meegedacht.”
Harry Plaizier
Medeverantwoordelijk voor opleidingen en trainingen
“Rob wist met behulp van duidelijke voorbeelden en een portie humor de stof goed over te brengen in de VCU-training. Hij besteedde extra aandacht aan de voorbereiding op het examen. Dit was erg prettig!”
“De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”
“Bij de start van ons VCA** traject zette Stijn meteen een duidelijke structuur neer. Dit gaf ons houvast gedurende het traject. De balans in workload was goed, de hoeveelheid werk dat we zelf moesten doen viel mee! Ook met onze vragen konden we altijd bij Stijn terecht.”
“Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”
“We zijn heel enthousiast en tevreden over de gegeven training. Het was inhoudelijk een goed, logisch en duidelijk verhaal dat Thijs ook nog eens leuk en helder over wist te brengen. Hij had echt verstand van zaken en kon op alle vragen antwoord geven. Al met al was het erg interessant en leerzaam.”
“Het is fijn om weer iemand op locatie te hebben die eigenaar is van het takenpakket van de HSE-manager. Het ontzorgt mijzelf, maar ook collega’s. Rob fungeert als aanspreekpunt en pakt alle taken op. Zo kunnen wij ons weer richten op onze kerntaken.”
“Wat heel fijn was tijdens het ISO 9001 en ISO 14001 implementatietraject is dat Martijn mooie templates beschikbaar had in onze werksessies. Hij nam ons mee aan de hand en maakte het simpel voor ons.”
“De expertise en ervaring van Rob hebben ons veel gebracht. En daarnaast mogen we blijven werken voor de hoofdaannemer nu we aan de slag zijn gegaan met de Veiligheidsladder. Het doel hebben we dus bereikt!”
“Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”
“Het mooie van CAN vind ik dat ze hele fijne, kundige en betrokken mensen hebben. Ze staan ervoor open om na te denken over hun eigen expertise heen en dat vind ik knap. Ze zijn in staat om een compleet beeld te durven schetsen en over hun eigen schaduw heen te stappen.”
“Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”
“Naast de opleidingen die worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. Ideaal om met elkaar te sparren! Hij is een stok achter de deur voor ons om door te pakken.”
“Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.”
“Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.”
“We hebben voor CertificeringsAdvies Nederland (CAN) gekozen omdat er een hele organisatie achter ziet die eenvoudig back-up kan bieden. CAN biedt een breed aanbod aan diensten en de adviseurs beoordelen objectief. Vreemde ogen dwingen tenslotte!”
Bram Peperzak
Operationeel Directeur & eindverantwoordelijke voor VGM
“Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren.”