De International Standard for Assurance Engagements (ISAE 3402)

Advies en ondersteuning bij ISAE 3402

Organisaties besteden steeds meer, vaak cruciale, processen uit, met name op het gebied van IT. Wanneer dat het geval is dan willen organisaties ook graag weten op welke manier de informatie wordt beveiligd. Het is immers belangrijk dat je als organisatie weet hoe autorisaties zijn ingeregeld en welke maatregelen er zijn getroffen om bijvoorbeeld fraude te voorkomen. Een ISAE 3402 geeft inzicht in dit soort zaken. ISAE 3402 is een audit standaard voor rapportage over de beheersing van processen die zijn uitbesteed.

Achtergrond en voor wie is ISAE 3402?

De ISAE 3402 verklaring is ontstaan doordat organisaties en toezichthouders de behoefte hadden aan inzichten over de beheersing van processen die zijn uitbesteed. Met behulp van ISAE hebben toezichthoudende instanties (zoals bijvoorbeeld de Nederlandsche bank) de mogelijkheid om aan klanten van je organisatie vragen of eisen te stellen ten aanzien van de geoutsourcete processen. Daarbij staan risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging centraal. De ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van de klant te beveiligen. ISAE 3042 leidt overigens niet tot een (ISO) certificaat.

Interesse in ondersteuning bij ISAE 3402?

Vraag vrijblijvend een offerte op maat aan!

Behalen ISAE 3402

Er zijn twee typen ISAE 3402 verklaringen; namelijk een type 1 en een type 2 verklaring. In de type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen van het certificaat. Om de type 1 verklaring af te geven zal er door de auditor gekeken worden of de beschrijving van het ISAE-rapport overeenkomt met de werkelijke situatie.

Aan de type 2 verklaring hangt een periode van zes maanden vast. Het is de bedoeling dat de organisatie bewijslast verzamelt over een proces of tool (die binnen de scope valt) met de daarbij behorende risico’s en maatregelen. Er wordt door de auditor gekeken naar de wijze waarop de maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.

Systemen voor informatiebeveiliging

Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.

Wat zeggen onze klanten over onze aanpak

“Direct aanpakken met een no nonsense mentaliteit, hierdoor snel en pragmatisch ISO 27001 behaald!“
Lees het hele klantverhaal

Edward Goessens, The Computer Company (TCC)

Onze visie

Wij zijn geen standaard adviesbureau. Bij ons geen wollige vaktermen die je nauwelijks iets zeggen. Geen dikke adviesrapporten, maar pragmatische oplossingen met focus op directe winst. Met het doel helder voor ogen werken we naar het beste resultaat. Betrouwbaar, ondernemend en eenvoudig: wij maken het niet moeilijker dan het is.

Onze organisatie

Bij CertificeringsAdvies Nederland houden we van focus. Daarom werken we met een aantal branches waarbij wij op de hoogte zijn van de diverse ontwikkelingen op ons vakgebied. Zo denken we pro-actief met je mee en adviseren we de beste oplossing.

Binnen onze dienstverlening bieden wij een compleet advies- en opleidingsaanbod aan voor jouw branche. Zo begeleiden we je naar het behalen van ISAE 3402 door advies, maar we geven we ook diverse opleidingen en trainingen. Bekijk wat we allemaal voor jou kunnen betekenen.

Heb je vragen over de ISAE 3402?