ISAE 3402 en ISO 27001Met regelmaat wordt de vraag gesteld of het kan dat een ISAE 3402 en een ISO 27001 elkaar vervangen? Of zijn het juist zaken die elkaar aanvullen? In dit blogartikel worden diverse overeenkomsten en verschillen tussen beiden benoemd. Mochten er naar aanleiding van dit artikel vragen zijn of ben je benieuwd naar de mogelijkheden? Schroom dan niet om contact op te nemen. Wij helpen je graag!

Certificaten

Voor het behalen van een ISO 27001 certificaat moet de organisatie door een geslaagde audit komen. Een ISAE 3402 is juist een assurance verklaring die aan de organisatie wordt afgegeven.

Lees ook het artikel: Wat is ISAE 3402?

Scope versus systeem

ISO 27001 noemt hetgeen waar men voor gecertificeerd wil worden ‘de scope’. Dit is een vrij beknopte beschrijving op een hoger niveau die in één volzin moet worden weergegeven. ISAE 3402 kent ‘het systeem’. Dit is een uitgebreide beschrijving van de dienst of service van de organisatie en gaat dieper dan de ISO 27001 scope beschrijving.

Handig Stappenplan ISAE 3402 [Download]

Wil je meer informatie over ISAE en de implementatie daarvan? Download dan geheel vrijblijvend het handige Stappenplan ISAE 3402. Daarin leggen we je stap voor stap uit wat er allemaal komt kijken bij ISAE 3402.

DOWNLOAD STAPPENPLAN
ISAE 3402 stappenplan

Risico’s ISAE 3402 en ISO 27001

Dit aspect is belangrijk voor beiden. Bij ISO 27001 is de risicoanalyse geïnd op de assets. Deze kennen bedreigingen en daar rolt middels kans op voordoen maal potentiële gevolgen een risico uit. ISAE 3402 kent beheersingsdoelstellingen die bereikt moeten worden voor een goed functionerend systeem. Deze doelstellingen bevatten risico’s die ervoor kunnen zorgen dat de doelstellingen niet of niet effectief bereikt worden.

Maatregelen ISAE 3402 versus ISO 27001

Zowel ISAE 3402 alsmede ISO 27001 implementeren beheersmaatregelen om risico’s te mitigeren. De maatregelen voor de ISO 27001 certificering komen uit een standaard maatregelen lijst die staat beschreven in de ISO 27002 norm. Voor ISAE 3402 staat het de organisatie vrij om te besluiten welke beheersmaatregelen geïmplementeerd dienen te worden.

ISMS versus controle proces

ISO 27001 kent een Information Security Management System (ISMS). Hierin worden controles gepland, mogelijke verbeteringen gesignaleerd, verholpen en vervolgens de doeltreffendheid gemeten. ISAE 3402 kent een soortgelijk proces waar middels monitoring van de beheersmaatregelen wordt gecontroleerd op effectiviteit van de getroffen beheersmaatregel.

Lees ook: Wat is een ISMS in de ISO 27001 norm?

Audits en bewijs

ISO 27001 kent, afhankelijk van de omvang van de organisatie in de scope, een aantal audit dagen per jaar. Hierin wordt bewijs door de auditor opgevraagd. Dit bewijs beperkt zich tot een beperkt aantal bewijsstukken per onderwerp. De tijd voor een ISAE 3402 audit bedraagt, bij gelijkwaardige organisaties c.q. scope, meer dan voor een ISO 27001 audit. Voor de ISAE 3402 audit vindt vaak iedere zes maanden een audit plaats. Er wordt geaudit op basis van statische bepaalde steekproeven, waar de desbetreffende bewijslast aantoonbaar moet kunnen worden gemaakt. In de praktijk betekent dit dat een aanzienlijke hoeveelheid bewijs aan de auditor dient te worden getoond. 

Conclusie ISAE 3402 en ISO 27001

Ondanks dat er diverse overeenkomsten zijn tussen ISAE 3402 versus ISO 27001 kunnen deze elkaar niet vervangen. Belangrijkste reden hiervoor is dat beiden voor een ander publiek van toepassing zijn. Zo richt de overheid zich bijvoorbeeld op ISO 27001, omdat dit aansluit bij de Baseline Informatiebeveiliging Overheid (BIO). Vanuit de financiële wereld is het met name gebruikelijk om een ISAE 3402 assurance verklaring aan te kunnen tonen.

Wil je meer weten over ISO 27001 en/of ISAE 3402 en de mogelijkheden ervan? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord!

NEEM CONTACT OP


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl