Financiële instellingen dienen wettelijk (Art 4.16 Wft) aan te kunnen tonen dat outsourcingsdiensten beheerst worden. Deze eis geldt voor alle leveranciers zoals creditmanagementorganisaties, SaaS-providers en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Hiervoor dienen financiële instellingen zoals een verzekeraar of bank een Service Organisation Control (SOC) rapport aan te tonen aan de leverancier alvorens de leverancier diensten kan leveren aan de instelling. Dit maakt dat de ISAE 3402 verplicht is.
Artikeltip: Lees ook ‘Wat is ISAE 3402?’
ISAE 3402 is verplicht, wat zijn de voordelen?
Steeds meer klanten selecteren hun leverancier op IT-security. Met het voldoen aan de ISAE 3402 laat je zien dat jouw organisatie de zaken op orde heeft en wek je vertrouwen bij (potentiële) nieuwe klanten.
Handig stappenplan ISAE 3402 nodig?
Stap voor stap op weg naar ISAE 3402? Download dan geheel vrijblijvend dit handige Stappenplan ISAE 3402 en ontdek wat de stappen zijn op weg naar een succesvolle ISAE 3402 implementatie. Voor meer informatie, neem gerust contact met ons op!
Daarnaast is de norm ook in wettelijke context een steeds vaker gevraagde assurance verklaring. Ook de overheid weet de ISAE 3402 inmiddels te vinden voor bijvoorbeeld de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Doordat de ISAE 3402 internationaal erkend is, kun je zowel nationaal als internationaal aan deze vraag van je leveranciers voldoen.
ISAE 3402 behalen
DE ISAE 3402 kent twee typen verklaringen; de type 1 en type 2 verklaring. Beide verklaring zijn inhoudelijk hetzelfde. Het verschil tussen de twee verklaringen is terug te zien in de uitgevoerde controle op het rapport. Om de type 1 verklaring te toetsen aan ISAE3402 beoordeeld de auditor of de beschrijving van het ISAE-rapport overeenkomt met de actuele situatie. Het toetsen van een type 2 verklaring duurt daarentegen een stuk langer. De organisatie dient gedurende 6 maanden bewijs te verzamelen over de risicobeheersing binnen een proces of tool, de aanwezige risico’s en maatregelen dienen in kaart te worden gebracht. De auditor zal vervolgens beoordelen hoe de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.
Wil je meer lezen over de ISAE 3402 verklaringen? Lees dan het artikel: ‘ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg’.
Meer informatie?
Hopelijk heb je na het lezen van dit blogartikel een beter beeld over wanneer ISAE 3402 verplicht is. Wil je meer weten over ISAE 3402, SOC of gerelateerde vraagstukken? Neem dan gerust contact met ons op. Onze adviseur vertelt je graag meer over de mogelijkheden.
