ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg

Het verschil tussen ISAE 3402 type 1 en ISAE 3402 type 2 in een notendop uitgelegd:

In het vervolg van dit artikel zetten we een en ander nog wat uitgebreider voor je uiteen.

De norm staat voor International Standard for Assurance Engagements. Het is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen. Met behulp van ISAE 3402 hebben toezichthoudende organisaties, zoals bijvoorbeeld de Nederlandsche bank, de mogelijkheid om aan klanten van een organisatie vragen of eisen te stellen over processen die zijn uitbesteed. Daarbij draait het om risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging.

Vanuit de wet (Art. 4.16. Wft) zijn financiële instellingen ook verplicht om in het geval van uitbesteding van processen aan te tonen dat deze processen beheerst worden. Een financiële instelling zal altijd van leveranciers een ISAE 3402 rapport eisen alvorens de leverancier de diensten mag leveren. Met behulp van ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

De inhoud van een ISAE 3402 rapportage is vormvrij. Wel zitten er een aantal verplicht op te nemen onderdelen in, namelijk:

Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan.

In Nederland is een zogenaamde ‘best practice’ voor het opstellen van een ISAE 3402 rapport. Daarin staat een vastgestelde indeling en een manier waarop de beheersmaatregelen (controls) beschreven kunnen worden. De onderdelen die in de best practice staan vernoemd:

De ISAE 3402 verklaring is er in twee smaken, namelijk type 1 en type 2. Maar wat is nu precies het verschil tussen deze twee? In feite zijn beide rapporten inhoudelijk precies hetzelfde. Het verschil zit hem namelijk niet in de inhoud van het rapport, maar juist in de uitgevoerde controle daarop. Hieronder per type verklaring een korte uitleg waarin duidelijk wordt gemaakt wat de verschillen zijn tussen de type 1 en type 2 rapporten.

Tijdens een audit wordt door een auditor getoetst of alle maatregelen (controls) die binnen de scope vallen ook daadwerkelijk zijn opgenomen en worden nageleefd. Na de audit wordt de ISAE rapportage voorzien van een ‘assurance mededeling’ volgens Standaard 3402. Dit wordt ook wel een ISAE 3402 certificering genoemd, maar officieel is het geen certificaat maar een assurance rapportage. Een ISAE 3402 leidt dan ook niet tot een (ISO) certificaat.

Bij de ISAE 3402 type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de daadwerkelijke situatie.

Een ISAE 3402 type 1 rapport is gericht op één meetmoment, ofwel het is een momentopname. Om die reden is een dergelijk rapport beperkt bruikbaar. Er wordt immers niet aangetoond dat maatregelen succesvol zijn geweest gedurende een langere periode. Dit is een verschil met een type 2 rapport, waar een periode van bewijs nodig is. Een ander verschil tussen de ISAE 3402 type 1 en type 2 verklaring is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.

Bij de ISAE 3402 type 2 verklaring is een periode van minimaal zes maanden nodig waarin bewijs wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen. Daarbij kijkt een auditor naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.

Zoals hierboven benoemd is een ISAE 3402 type 2 rapport inhoudelijk gelijk aan een type 1 rapport. Het verschil is dat in dit type 2 rapport een verklaring is opgenomen van de auditor waarin staat dat de beschreven maatregelen over een periode van zes maanden gewerkt hebben. Een audit voor ISAE 3402 type 2 is dan ook een stuk uitgebreider dan die voor een type 1. Zo worden beheersmaatregelen die regelmatig voorkomen meerdere malen op verschillende momenten getoetst op de effectieve werking. Daarom kan ook gesteld worden dat een organisatie met een ISAE 3402 type 2 verklaring meer zekerheid heeft omtrent dat de dienstverlening beheerst wordt zoals is afgesproken.

Financiële instellingen dienen wettelijk (Art 4.16 Wft) aan te kunnen tonen dat outsourcingsdiensten beheerst worden. Deze eis geldt voor alle leveranciers zoals creditmanagementorganisaties, SaaS-providers en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Hiervoor dienen financiële instellingen zoals een verzekeraar of bank een Service Organisation Control (SOC) rapport aan te tonen aan de leverancier alvorens de leverancier diensten kan leveren aan de instelling. Dit maakt dat de ISAE 3402 verplicht is.

Daarnaast is de norm ook in wettelijke context een steeds vaker gevraagde assurance verklaring. Ook de overheid weet de ISAE 3402 inmiddels te vinden voor bijvoorbeeld de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Doordat de ISAE 3402 internationaal erkend is, kun je zowel nationaal als internationaal aan deze vraag van je leveranciers voldoen.

ISO 27001 is een internationale norm voor informatiebeveiliging die leidt tot een certificaat na een geslaagde audit. ISAE 3402 is geen certificering, maar een assurance-verklaring die door een externe auditor wordt afgegeven. ISO 27001 werkt met een compacte scope en een vaste set beheersmaatregelen (ISO 27002), terwijl ISAE 3402 een volledig systeem beschrijft en ruimte laat voor maatwerk in beheersmaatregelen. De risicoanalyse van ISO 27001 richt zich op bedreigingen van assets; bij ISAE 3402 draait het om het behalen van beheersdoelstellingen.

ISO 27001 kent jaarlijkse audits op hoofdlijnen met beperkte steekproeven. ISAE 3402 is intensiever: er wordt vaker geaudit en meer bewijs gevraagd, op basis van statische steekproeven. ISO 27001 wordt vaak gevraagd door overheden vanwege aansluiting op de BIO, terwijl ISAE 3402 gebruikelijk is binnen de financiële sector. Beide normen versterken vertrouwen, maar zijn niet inwisselbaar en dienen verschillende belangen.

De kosten voor een ISAE 3402-traject verschillen per organisatie en zijn maatwerk. Ze zijn onder meer afhankelijk van de huidige situatie, de scope en de mate van begeleiding die je kiest. Factoren die de kosten beïnvloeden zijn:

Kies je voor ondersteuning van een adviespartij zoals CertificeringsAdvies Nederland, dan bepaal je zelf de intensiteit van begeleiding: coachend of uitvoerend. Dat beïnvloedt uiteraard het kostenplaatje. Daarnaast komen er kosten kijken bij de externe audit door een onafhankelijke en bevoegde partij. Ook deze audit is een vast onderdeel van het traject. Vergelijk daarom altijd meerdere offertes om inzicht te krijgen in de totale kosten van ISAE 3402.

Doorgaans als er over een ISAE 3402 rapport wordt gesproken, dan wordt er door organisaties gedoeld op het ISAE 3402 Type II rapport. Een Type 1 rapport is immers beperkt bruikbaar, omdat er geen zekerheid is over de werking van de maatregelen.

Wil je meer weten over een ISAE 3402 verklaring? Of wil je juist aan de slag met ISAE en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord en helpen je graag bij de implementatie van ISAE.