Meer informatie of offerte aanvragen
Wil je meer weten over ISAE 3402? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!
International Standard for Assurance Engagements
Wat is ISAE 3402?
ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen.
Wij zijn je graag van dienst
Onze ISAE 3402 specialisten
Inhoud
Meer over informatiebeveiliging
Inhoudsopgave
Voor wie is ISAE 3402 verklaring? |
Stappenplan ISAE 3402 |
Systemen voor informatiebeveiliging |
Beheersing van processen
Voor wie is ISAE 3402?
De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3402 leidt overigens niet tot een (ISO) certificaat.
Stap voor stap
Stappenplan ISAE
Stap 1: Over de organisatie
In stap 1 wordt er gekeken naar de context van de organisatie met daarin de visie en missie. Het is hierbij van belang dat er wordt gekeken naar de rechtsvorm van de organisatie. Valt de organisatie onder een holding, is het een besloten vennootschap of betreft het bijvoorbeeld een zzp’er?
Stap 2: Vaststellen van de scope
In deze stap dient de scope, waarvoor de ISAE 3402 verklaring af wordt gegeven, vastgesteld te worden. Denk daarbij aan de scope van een proces, van een applicatie en/of van een aantal beheersmaatregelen.
Stap 3: Uitvoeren van een risicoanalyse
Vervolgens wordt er gekeken naar de risicomanagementfilosofie van de directie/organisatie. Denk daarbij aan degene(n) die verantwoordelijk is/zijn voor het mitigeren van de risico’s en degene(n) die dit audit(en). In navolging daarvan wordt er gekeken naar de risicobereidheid van de organisatie, met daaraan gekoppeld de vraag ‘wat kan de klant overkomen als het mis gaat’? De risico’s worden weergegeven in een risicoanalyse, met daaraan gekoppeld een waarde die wordt uitgedrukt door de kans maal het effect. Op basis van deze classificatie bepaalt de organisatie haar risicobereidheid.
De risico’s die binnen de scope vallen kunnen onderverdeeld worden in verschillende typen, namelijk:
- Risico’s t.g.v. technische oorzaken
- Risico’s t.g.v. personele oorzaken
- Risico’s t.g.v. applicatie oorzaken
- Risico’s m.b.t. beveiliging
- Risico’s m.b.t. integriteit
- Risico’s m.b.t. reputatie
Stap 4: Integriteit en ethische waarden
De directie en het management van de organisatie hebben een breed scala aan (sociale) beheersmaatregelen getroffen die bijdragen aan de vorming en instandhouding van de door de organisatie gewenste organisatiecultuur. Tijdens deze stap zal er worden gekeken naar de gedragscode en bedrijfswaarden. Deze hebben namelijk invloed op het opstellen van de doelstellingen en de wijze waarop deze doelstellingen moeten worden verwezenlijkt.
Stap 5: Opstellen doelstellingen van de onderneming
In deze stap wordt gekeken naar de doelen die zijn gesteld voor komende periode om ervoor te zorgen dat de organisatie in control is. Tevens wordt daarbij bekeken of de organisatie voldoet aan haar eigen eisen.
Stap 6: Maatregelen
Naar aanleiding van het vaststellen van de risico’s met de daarbij behorende doelstellingen wordt er gekeken naar de verschillende beheersmaatregelen die geïmplementeerd moeten worden om de risico’s te beheersen.
Stap 7: Monitoren en meten van de maatregelen op de effectiviteit
In deze stap wordt concreet gemaakt op welke wijze de beheersmaatregelen, die in voorgaande stap zijn beschreven, worden gemonitord en gemeten. Het is hierbij belangrijk om de beheersmaatregelen te koppelen aan de doelstellingen die zijn vastgesteld. Wellicht is het ook verstandig om de maatregel te koppelen aan het risico om een beter beeld te krijgen van de correlatie.
De controleactiviteiten zijn belangrijk om aan aan te tonen op welke wijze de getroffen maatregelen werken of niet werken. Er komt dus een overzicht van de doelstelling, de getroffen maatregel en de daarbij uitgevoerde werkzaamheden. De uitkomsten hiervan kunnen bijvoorbeeld worden besproken tijdens een kwartaalmeeting.
Stap 8: Beheersactiviteiten
De controleactiviteiten vormen een belangrijk onderdeel van de maatregelen die getroffen zijn voor de interne beheersing. Hier dient een agenda voor opgesteld te worden met daarin een minimaal aantal onderwerpen die aan bod moeten komen. Dit alles wordt gerapporteerd naar de klant. De onderwerpen zijn:
- Een terugblik op het afgelopen kwartaal;
- Een vooruitblik op het komend kwartaal;
- Strategische zaken
Stap 9: Wijzigingen
Wijzigingen binnen de organisatie kunnen van invloed zijn op de geïmplementeerde risico’s en beheersmaatregelen. Het is daarom belangrijk om veranderingen conform een vast proces te laten verlopen in de vorm van indienen, accepteren, beoordelen, goedkeuren, implementeren en evalueren. Het zogenaamde ‘change proces’ is gebaseerd op ITIL en in lijn met gerelateerde processen die binnen de scope van de verklaring vallen.
(Erkend) kader
Systemen voor informatiebeveiliging
Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.
Kennis
De best gelezen ISAE 3402 berichten
Kom in contact met de partner in certificeren!
Kun je advies of ondersteuning gebruiken bij ISAE 3402?
Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg.