Is ISAE 3402 verplicht?

Is ISAE 3402 verplicht? En hoe kun je het behalen?

ISAE 3402 verplicht
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Financiële instellingen dienen wettelijk (Art 4.16 Wft) aan te kunnen tonen dat outsourcingsdiensten beheerst worden. Deze eis geldt voor alle leveranciers zoals creditmanagementorganisaties, SaaS-providers en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Hiervoor dienen financiële instellingen zoals een verzekeraar of bank een Service Organisation Control (SOC) rapport aan te tonen aan de leverancier alvorens de leverancier diensten kan leveren aan de instelling. Dit maakt dat de ISAE 3402 verplicht is.

ISAE 3402 is verplicht, wat zijn de voordelen?

Steeds meer klanten selecteren hun leverancier op IT-security. Met het voldoen aan de ISAE 3402 laat je zien dat jouw organisatie de zaken op orde heeft en wek je vertrouwen bij (potentiële) nieuwe klanten.

Daarnaast is de norm ook in wettelijke context een steeds vaker gevraagde assurance verklaring. Ook de overheid weet de ISAE 3402 inmiddels te vinden voor bijvoorbeeld de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Doordat de ISAE 3402 internationaal erkend is, kun je zowel nationaal als internationaal aan deze vraag van je leveranciers voldoen.

ISAE 3402 behalen

DE ISAE 3402 kent twee typen verklaringen; de type 1 en type 2 verklaring. Beide verklaring zijn inhoudelijk hetzelfde. Het verschil tussen de twee verklaringen is terug te zien in de uitgevoerde controle op het rapport. Om de type 1 verklaring te toetsen aan ISAE3402 beoordeeld de auditor of de beschrijving van het ISAE-rapport overeenkomt met de actuele situatie. Het toetsen van een type 2 verklaring duurt daarentegen een stuk langer. De organisatie dient gedurende 6 maanden bewijs te verzamelen over de risicobeheersing binnen een proces of tool, de aanwezige risico’s en maatregelen dienen in kaart te worden gebracht. De auditor zal vervolgens beoordelen hoe de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.

Meer informatie?

Hopelijk heb je na het lezen van dit blogartikel een beter beeld over wanneer ISAE 3402 verplicht is. Wil je meer weten over ISAE 3402, SOC of gerelateerde vraagstukken? Neem dan gerust contact met ons op. Onze adviseur vertelt je graag meer over de mogelijkheden.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Stap voor stap naar een ISAE 3402 verklaring?

Download het handige stappenplan!

  • Concrete stappen
  • Praktische informatie

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields