ISAE 3402 verklaring

De International Standard for Assurance Engagements ISAE 3402

Organisaties besteden steeds meer, vaak cruciale, processen uit, met name op het gebied van IT. Wanneer dat het geval is dan willen organisaties ook graag weten op welke manier de informatie wordt beveiligd. Het is immers belangrijk dat je als organisatie weet hoe autorisaties zijn ingeregeld en welke maatregelen er zijn getroffen om bijvoorbeeld fraude te voorkomen. Een ISAE 3402 verklaring geeft inzicht in dit soort zaken. ISAE 3402 is een audit standaard voor rapportage over de beheersing van processen die zijn uitbesteed. Hulp of ondersteuning nodig bij ISAE 3402?

ISAE 3402: wat is het
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen

Wil je meer weten over ISAE 3402? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!

International Standard for Assurance Engagements

Wat is ISAE 3402?

ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen.

ISAE 3402 audit

Inhoud

Meer over informatiebeveiliging

Inhoudsopgave

Voor wie is ISAE 3402 verklaring?
Stappenplan ISAE 3402
Systemen voor informatiebeveiliging
ISAE 3402 kosten

Beheersing van processen

Voor wie is ISAE 3402?

De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3402 leidt overigens niet tot een (ISO) certificaat.

ISAE 3402 verplicht

Stap voor stap

Stappenplan ISAE

Stap 1: Over de organisatie
In stap 1 wordt er gekeken naar de context van de organisatie met daarin de visie en missie. Het is hierbij van belang dat er wordt gekeken naar de rechtsvorm van de organisatie. Valt de organisatie onder een holding, is het een besloten vennootschap of betreft het bijvoorbeeld een zzp’er?

Stap 2: Vaststellen van de scope
In deze stap dient de scope, waarvoor de ISAE 3402 verklaring af wordt gegeven, vastgesteld te worden. Denk daarbij aan de scope van een proces, van een applicatie en/of van een aantal beheersmaatregelen.

ISAE 3402 control matrix

Stap 3: Uitvoeren van een risicoanalyse
Vervolgens wordt er gekeken naar de risicomanagementfilosofie van de directie/organisatie. Denk daarbij aan degene(n) die verantwoordelijk is/zijn voor het mitigeren van de risico’s en degene(n) die dit audit(en). In navolging daarvan wordt er gekeken naar de risicobereidheid van de organisatie, met daaraan gekoppeld de vraag ‘wat kan de klant overkomen als het mis gaat’? De risico’s worden weergegeven in een risicoanalyse, met daaraan gekoppeld een waarde die wordt uitgedrukt door de kans maal het effect. Op basis van deze classificatie bepaalt de organisatie haar risicobereidheid.

De risico’s die binnen de scope vallen kunnen onderverdeeld worden in verschillende typen, namelijk:

  • Risico’s t.g.v. technische oorzaken
  • Risico’s t.g.v. personele oorzaken
  • Risico’s t.g.v. applicatie oorzaken
  • Risico’s m.b.t. beveiliging
  • Risico’s m.b.t. integriteit
  • Risico’s m.b.t. reputatie
ISAE 3402 vs. SOC 2

Stap 4: Integriteit en ethische waarden
De directie en het management van de organisatie hebben een breed scala aan (sociale) beheersmaatregelen getroffen die bijdragen aan de vorming en instandhouding van de door de organisatie gewenste organisatiecultuur. Tijdens deze stap zal er worden gekeken naar de gedragscode en bedrijfswaarden. Deze hebben namelijk invloed op het opstellen van de doelstellingen en de wijze waarop deze doelstellingen moeten worden verwezenlijkt.

Stap 5: Opstellen doelstellingen van de onderneming
In deze stap wordt gekeken naar de doelen die zijn gesteld voor komende periode om ervoor te zorgen dat de organisatie in control is. Tevens wordt daarbij bekeken of de organisatie voldoet aan haar eigen eisen.

ISAE 3402 Type 1 en 2

Stap 6: Maatregelen
Naar aanleiding van het vaststellen van de risico’s met de daarbij behorende doelstellingen wordt er gekeken naar de verschillende beheersmaatregelen die geïmplementeerd moeten worden om de risico’s te beheersen.

Stap 7: Monitoren en meten van de maatregelen op de effectiviteit
In deze stap wordt concreet gemaakt op welke wijze de beheersmaatregelen, die in voorgaande stap zijn beschreven, worden gemonitord en gemeten. Het is hierbij belangrijk om de beheersmaatregelen te koppelen aan de doelstellingen die zijn vastgesteld. Wellicht is het ook verstandig om de maatregel te koppelen aan het risico om een beter beeld te krijgen van de correlatie.

De controleactiviteiten zijn belangrijk om aan aan te tonen op welke wijze de getroffen maatregelen werken of niet werken. Er komt dus een overzicht van de doelstelling, de getroffen maatregel en de daarbij uitgevoerde werkzaamheden. De uitkomsten hiervan kunnen bijvoorbeeld worden besproken tijdens een kwartaalmeeting.

ISAE 3402 verplicht

Stap 8: Beheersactiviteiten
De controleactiviteiten vormen een belangrijk onderdeel van de maatregelen die getroffen zijn voor de interne beheersing. Hier dient een agenda voor opgesteld te worden met daarin een minimaal aantal onderwerpen die aan bod moeten komen. Dit alles wordt gerapporteerd naar de klant. De onderwerpen zijn:

  • Een terugblik op het afgelopen kwartaal;
  • Een vooruitblik op het komend kwartaal;
  • Strategische zaken

Stap 9: Wijzigingen
Wijzigingen binnen de organisatie kunnen van invloed zijn op de geïmplementeerde risico’s en beheersmaatregelen. Het is daarom belangrijk om veranderingen conform een vast proces te laten verlopen in de vorm van indienen, accepteren, beoordelen, goedkeuren, implementeren en evalueren. Het zogenaamde ‘change proces’ is gebaseerd op ITIL en in lijn met gerelateerde processen die binnen de scope van de verklaring vallen.

ISAE 3402 versus ISO 27001
verschil-isae-3000-versus-isae-3402

(Erkend) kader

Systemen voor informatiebeveiliging

Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.

  • Logo Fastned

    “Zonder CertificeringsAdvies Nederland (CAN) waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval (wat moeten we vastleggen, wat ligt informeel in de organisatie al vast) hadden we niet zonder CAN kunnen doen. We zijn blij verrast met het resultaat.”

    Fastned tanken

    Thijs Baars

    Business Analist & Security Officer

  • Logo Lannet & IT

    “Gedurende het ISO 27001 en NEN 7510 traject viel vooral de pragmatische aanpak op. CertificeringsAdvies Nederland (CAN) denkt echt vanuit de organisatie en niet vanuit de norm. De CAN-adviseur wist de normen feilloos te vertalen naar de praktijk waardoor het voor ons duidelijk en werkbaar was.”

    ISO 27001 checklist

    Paul den Otter

    Oprichter en eigenaar

  • Klantlogo Vecos

    “We hebben de ISO 27001 norm met behulp van CertificeringsAdvies Nederland binnen 2 maanden opgetuigd. De gezamenlijke start en de professionele begeleiding van de adviseur hebben erg geholpen om onze hele organisatie te enthousiasmeren voor ISO. Dat was erg positief!”

    Vecos lockers

    Joris Geelhoed

    Security Officer

  • Klantlogo WSB solutions

    “Samen met Tobias hebben we het afgelopen jaar flinke stappen gezet met betrekking tot ISO 9001 en ISO 27001. Hij heeft veel ervaring in de IT-branche en dat is van grote waarde gebleken. Hij weet hoe andere bedrijven bepaalde uitdagingen hebben opgelost en kan daarom meedenken en alternatieven noemen.”

    Tobias bij WSB Solutions

    Jan Penning

    Algemeen Directeur

  • Klantlogo Infield

    “De manier van communiceren, het snelle contact, de korte lijntjes en de mogelijkheid voor verschillende manieren van ondersteuning spraken ons erg aan bij CertificeringsAdvies Nederland. De adviseurs zijn heel erg ter zake kundig en kunnen dieper op bepaalde zaken ingaan. Over de hele linie kwamen ze met praktische zaken en handige formats!”

    Infield

    Martijn Stuart

    Eigenaar

  • Klantlogo Olympia

    “Tobias heeft ons veel werk uit handen genomen tijdens het ISO 27001 implementatietraject. We zijn blij te kunnen melden dat we recent met vlag en wimpel door de audit van fase 1 zijn gekomen!”

    CAN-Verschuiving-informatiebeveiligingsiricos-door-digitale-organisaties-2

    Henk Kraa

    IT-manager

  • Logo - ULU

    “Voordat we samenwerkten met CertificeringsAdvies Nederland hadden we het gevoel dat we nog ver van ISO 27001 af stonden. Laurens nam ons aan de hand mee en heeft het simpel gemaakt voor ons. Na een tijdje kom je erachter dat je eigenlijk al best ver bent.”

    CAN - Klantcase ULU

    Geertjan Berman

    Operationeel verantwoordelijke

  • Logo connectworks

    “Laurens heeft ons begeleid met de implementatie van ISO 27001 en NEN 7510. Die samenwerking ging zo goed, dat hij momenteel bij ons werkzaam is als Security Officer (as a Service).”

    ConnectWorks directie

    Wouter van Weeren

    Mede-oprichter

Kom in contact met de partner in certificeren!

Kun je advies of ondersteuning gebruiken bij ISAE 3402?

Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg.