ISAE 3402 verklaring

De International Standard for Assurance Engagements ISAE 3402

Organisaties besteden steeds meer, vaak cruciale, processen uit, met name op het gebied van IT. Wanneer dat het geval is dan willen organisaties ook graag weten op welke manier de informatie wordt beveiligd. Het is immers belangrijk dat je als organisatie weet hoe autorisaties zijn ingeregeld en welke maatregelen er zijn getroffen om bijvoorbeeld fraude te voorkomen. Een ISAE 3402 verklaring geeft inzicht in dit soort zaken. ISAE 3402 is een audit standaard voor rapportage over de beheersing van processen die zijn uitbesteed.

ISAE 3402: wat is het
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen

Wil je meer weten over ISAE 3402? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!

Beheersing van processen

Voor wie is ISAE 3402 verklaring?

De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3402 leidt overigens niet tot een (ISO) certificaat.

ISAE 3402 verplicht

Behalen ISAE 3402 verklaring

Er zijn twee typen ISAE 3402 verklaringen; namelijk een type 1 en een type 2 verklaring. In de type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen van het certificaat. Om de type 1 verklaring af te geven zal er door de auditor gekeken worden of de beschrijving van het ISAE-rapport overeenkomt met de werkelijke situatie.

Aan de type 2 verklaring hangt een periode van zes maanden vast. Het is de bedoeling dat de organisatie bewijslast verzamelt over een proces of tool (die binnen de scope valt) met de daarbij behorende risico’s en maatregelen. Er wordt door de auditor gekeken naar de wijze waarop de maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.

Systemen voor informatiebeveiliging

Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.

  • Logo connectworks

    “Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die manier van (samen)werken is jarenlang goed gegaan. Tot onze organisatie op een gegeven moment groeide en functies veranderden waardoor het ISO-stuk bij mij kwam te liggen. Dat was niet meer voor mij weggelegd en daarnaast had ik er ook de tijd niet voor. Binnen onze organisatie hadden we ook niemand beschikbaar en buiten dat heerst er ook schaarste in dit vakgebied. Toen hebben we voor outsourcing gekozen. We hebben een goede klik met Laurens en hij weet hoe wij als organisatie werken. Dus sindsdien is Laurens bij ons werkzaam als Security Officer (as a Service).”

    ConnectWorks directie

    Wouter van Weeren

    Mede-oprichter

  • Logo Tjaden

    “Naast dat onze opleidingen worden geregeld door CertificeringsAdvies Nederland, ondersteunt Rob ons iedere maand in onze KAM-activiteiten. We sparren dan over grote vraagstukken en hij is een soort stok achter de deur om door te pakken. We kijken bewust naar waar we naartoe willen, hoeveel tijd het kost en hoeveel prioriteit het heeft. Je merkt dat medewerkers zelf ook met ideeën naar ons toekomen. De betrokkenheid is dus hoog!”

    Klantcase Tjaden

    Renate de Man

    KAM-coördinator

  • Klantlogo Stork

    Wij hebben ervoor gekozen om met CertificeringsAdvies Nederland in zee te gaan, omdat dit een partner is die, met betrekking tot de verschillende aspecten van de bedrijfsvoering, het meeste vertrouwen en deskundigheid uitstraalde.

    Wim Welman

    Kwaliteitsmanager

  • Logo celektron

    “Rob, de adviseur van CAN was kordaat en slagvaardig en vrij direct, daar houden we van! Hij draaide nergens omheen, daarom wisten we precies waar we aan toe waren. En niet zonder resultaat; na 2,5 maand hebben we het VCA* certificaat behaald.

    Met het behalen van het VCA* certificaat, inclusief VGM-RIE, kunnen we vanaf nu de veiligheid binnen het bedrijf aantonen aan onze opdrachtgevers. Daarnaast heeft het thema veiligheidsbewustzijn nog meer aandacht gekregen binnen onze organisatie na het behalen van het certificaat.”

    CAN - Elektrotechniek - Celektron-2

    Martijn Gerrits

    Teamleider Projecten

  • Logo-KiesZon

    “Samen met CertificeringsAdvies Nederland zijn er al veel zaken opgezet op het gebied van veiligheid. Zo is er een verbeterde versie van de Risico-Inventarisatie en -Evaluatie gemaakt, wordt er gemonitord en ondersteund bij het maken van procedures en processen, zitten er controles op veiligheidsplannen en neemt CertificeringsAdvies Nederland de werkplekinspecties voor haar rekening. Verder is er in samenwerking met CertificeringsAdvies Nederland binnen KiesZon een eigen BHV-organisatie opgezet en worden er diverse trainingen verzorgd. En dat alles naar tevredenheid!”

    Afbeelding van Bram Peperzak

    Bram Peperzak

    Operationeel Directeur & eindverantwoordelijke voor VGM

  • Logo Tjaden

    “Voor ons was het ontzettend belangrijk om onze opleidingen onder één dak te houden. Deze opleidingen moeten namelijk worden aangepast aan onze eigen risico’s. Dat is best een grote uitdaging. Alles haakt namelijk in elkaar. Je moet daarom wel een partij vinden die al die verschillende opleidingen kan verzorgen. Dan pas kun je namelijk meerwaarde gaan creëren. Uiteindelijk kwam ik bij CAN uit omdat zij, via hun opleidingsplatform de CAN Academy, veel verschillende trainingsmogelijkheden hebben en maatwerk kunnen leveren. Tevens ook een belangrijk onderdeel vanuit de Arbowet!”

    Klantcase Tjaden

    Renate de Man

    KAM-coördinator

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!