ISAE 3402 versus ISO 27001
ISAE 3402 en ISO 27001: kunnen ze elkaar vervangen?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlMet regelmaat wordt de vraag gesteld of het kan dat een ISAE 3402 en een ISO 27001 elkaar vervangen? Of zijn het juist zaken die elkaar aanvullen? In dit blogartikel worden diverse overeenkomsten en verschillen tussen beiden benoemd. Mochten er naar aanleiding van dit artikel vragen zijn of ben je benieuwd naar de mogelijkheden? Schroom dan niet om contact op te nemen. Wij helpen je graag!
Certificaten
Voor het behalen van een ISO 27001 certificaat moet de organisatie door een geslaagde audit komen. Een ISAE 3402 is juist een assurance verklaring die aan de organisatie wordt afgegeven.
Scope versus systeem
ISO 27001 noemt hetgeen waar men voor gecertificeerd wil worden ‘de scope’. Dit is een vrij beknopte beschrijving op een hoger niveau die in één volzin moet worden weergegeven. ISAE 3402 kent ‘het systeem’. Dit is een uitgebreide beschrijving van de dienst of service van de organisatie en gaat dieper dan de ISO 27001 scope beschrijving.
Risico’s ISAE 3402 en ISO 27001
Dit aspect is belangrijk voor beiden. Bij ISO 27001 is de risicoanalyse geïnd op de assets. Deze kennen bedreigingen en daar rolt middels kans op voordoen maal potentiële gevolgen een risico uit. ISAE 3402 kent beheersingsdoelstellingen die bereikt moeten worden voor een goed functionerend systeem. Deze doelstellingen bevatten risico’s die ervoor kunnen zorgen dat de doelstellingen niet of niet effectief bereikt worden.
“Het was voor ons erg prettig dat we gedurende het traject een vast aanspreekpunt hadden. Zo kun je steeds met elkaar aan de slag. Al met al was het prettig samenwerken met CertificeringsAdvies Nederland. De organisatie en adviseur hebben veel ervaring, handige voorbeelden en praktische ideeën die je kunt toepassen. We zijn erg tevreden, aldus Joris Geelhoed van Vecos.” Wil je de hele ervaring van Vecos lezen? Bekijk dan de Vecos klantcase.
Maatregelen ISAE 3402 versus ISO 27001
Zowel ISAE 3402 alsmede ISO 27001 implementeren beheersmaatregelen om risico’s te mitigeren. De maatregelen voor de ISO 27001 certificering komen uit een standaard maatregelen lijst die staat beschreven in de ISO 27002 norm. Voor ISAE 3402 staat het de organisatie vrij om te besluiten welke beheersmaatregelen geïmplementeerd dienen te worden.
ISMS versus controle proces
ISO 27001 kent een Information Security Management System (ISMS). Hierin worden controles gepland, mogelijke verbeteringen gesignaleerd, verholpen en vervolgens de doeltreffendheid gemeten. ISAE 3402 kent een soortgelijk proces waar middels monitoring van de beheersmaatregelen wordt gecontroleerd op effectiviteit van de getroffen beheersmaatregel.
Audits en bewijs
ISO 27001 kent, afhankelijk van de omvang van de organisatie in de scope, een aantal audit dagen per jaar. Hierin wordt bewijs door de auditor opgevraagd. Dit bewijs beperkt zich tot een beperkt aantal bewijsstukken per onderwerp. De tijd voor een ISAE 3402 audit bedraagt, bij gelijkwaardige organisaties c.q. scope, meer dan voor een ISO 27001 audit. Voor de ISAE 3402 audit vindt vaak iedere zes maanden een audit plaats. Er wordt geaudit op basis van statische bepaalde steekproeven, waar het desbetreffende bewijs aantoonbaar moet kunnen worden gemaakt. In de praktijk betekent dit dat een aanzienlijke hoeveelheid bewijs aan de auditor dient te worden getoond.
Meer lezen over de verschillende ISAE verklaringen? Lees dan het artikel: ‘ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg‘.
Conclusie ISAE 3402 en ISO 27001
Ondanks dat er diverse overeenkomsten zijn tussen ISAE 3402 versus ISO 27001 kunnen deze elkaar niet vervangen. Belangrijkste reden hiervoor is dat beiden voor een ander publiek van toepassing zijn. Zo richt de overheid zich bijvoorbeeld op ISO 27001, omdat dit aansluit bij de Baseline Informatiebeveiliging Overheid (BIO). Vanuit de financiële wereld is het met name gebruikelijk om een ISAE 3402 assurance verklaring aan te kunnen tonen.
Wil je meer weten over ISO 27001 en/of ISAE 3402 en de mogelijkheden ervan? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlStap voor stap naar een ISAE 3402 verklaring?
Download het handige stappenplan!
- Concrete stappen
- Praktische informatie