
De International Standard for Assurance Engagements (ISAE 3402)
Organisaties besteden steeds meer, vaak cruciale, processen uit, met name op het gebied van IT. Wanneer dat het geval is dan willen organisaties ook graag weten op welke manier de informatie wordt beveiligd. Het is immers belangrijk dat je als organisatie weet hoe autorisaties zijn ingeregeld en welke maatregelen er zijn getroffen om bijvoorbeeld fraude te voorkomen. Een ISAE 3402 verklaring geeft inzicht in dit soort zaken. ISAE 3402 is een audit standaard voor rapportage over de beheersing van processen die zijn uitbesteed.
Voor wie is ISAE 3402 verklaring?
De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3402 leidt overigens niet tot een (ISO) certificaat.
Behalen ISAE 3402 verklaring
Er zijn twee typen ISAE 3402 verklaringen; namelijk een type 1 en een type 2 verklaring. In de type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen van het certificaat. Om de type 1 verklaring af te geven zal er door de auditor gekeken worden of de beschrijving van het ISAE-rapport overeenkomt met de werkelijke situatie.
Aan de type 2 verklaring hangt een periode van zes maanden vast. Het is de bedoeling dat de organisatie bewijslast verzamelt over een proces of tool (die binnen de scope valt) met de daarbij behorende risico’s en maatregelen. Er wordt door de auditor gekeken naar de wijze waarop de maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.
Systemen voor informatiebeveiliging
Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.
Wat zeggen onze klanten over onze aanpak
“Het was voor ons erg prettig dat we gedurende het traject een vast aanspreekpunt hadden. Zo kun je steeds met elkaar aan de slag. Al met al was het prettig samenwerken met CertificeringsAdvies Nederland. De organisatie en adviseur hebben veel ervaring, handige voorbeelden en praktische ideeën die je kunt toepassen. We zijn erg tevreden!”
Lees het hele klantverhaal van Vecos
Onze visie
Wij zijn geen standaard adviesbureau. Bij ons geen wollige vaktermen die je nauwelijks iets zeggen. Geen dikke adviesrapporten, maar pragmatische oplossingen met focus op directe winst. Met het doel helder voor ogen werken we naar het beste resultaat. Betrouwbaar, ondernemend en eenvoudig: wij maken het niet moeilijker dan het is.
Onze organisatie
Bij CertificeringsAdvies Nederland houden we van focus. Daarom werken we met een aantal branches waarbij wij op de hoogte zijn van de diverse ontwikkelingen op ons vakgebied. Zo denken we pro-actief met je mee en adviseren we de beste oplossing.
Binnen onze dienstverlening bieden wij een compleet advies- en opleidingsaanbod aan voor jouw branche. Zo begeleiden we je naar het behalen van ISAE 3402 door advies, maar we geven we ook diverse opleidingen en trainingen. Bekijk wat we allemaal voor jou kunnen betekenen.
Laatste blogs
De NIB2-richtlijn: wat is NIB2 en wat betekent het voor (mkb-)bedrijven?
De NIB 2 maakt dat een groot aantal (mkb) bedrijven de cybersecurity binnen aanzienlijke tijd op orde moet hebben. In dit artikel vertellen we daar meer over!
Informatiebeveiligingsbewustzijn verhogen in de zorg
De zorgsector krijgt steeds vaker te maken met regelgeving op het gebied van informatiebeveiliging. Het bewustzijn van medewerkers speelt hierin een essentiële rol.