Wat is ISAE 3402Organisaties besteden steeds meer, vaak cruciale, processen uit. Dit gebeurt ook steeds vaker op het gebied van IT-processen. In dat geval is het belangrijk om als organisatie die processen uitbesteed te weten hoe alles rondom de informatiebeveiliging ingeregeld is. Je dient immers op de hoogte te zijn van de manier waarop autorisaties zijn ingeregeld en omtrent welke maatregelen er getroffen zijn om bijvoorbeeld fraude te voorkomen. Om dat inzichtelijk te maken voor de klant is ISAE 3402 in het leven geroepen. In dit blogartikel zoomen we in op de vraag ‘wat is ISAE 3402’ en leggen we uit wat er allemaal bij komt kijken.

Wat is ISAE 3402?

De norm staat voor International Standard for Assurance Engagements. Het is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen.

Handig stappenplan ISAE 3402 [Download]

Wil je meer informatie over ISAE 3402? Met dit overzichtelijke stappenplan helpen wij je stap voor stap op weg met de implementatie van ISAE 3402. Het document is geheel vrijblijvend te downloaden via onze website.

DOWNLOAD STAPPENPLAN
ISAE 3402 stappenplan

Met behulp van ISAE 3402 hebben toezichthoudende organisaties, zoals bijvoorbeeld de Nederlandsche bank, de mogelijkheid om aan klanten van een organisatie vragen of eisen te stellen over processen die zijn uitbesteed. Daarbij draait het om risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging.

Vanuit de wet (Art. 4.16. Wft) zijn financiële instellingen ook verplicht om in het geval van uitbesteding van processen aan te tonen dat deze processen beheerst worden. Een financiële instelling zal altijd van leveranciers een Service Organisation Control (SOC) rapport eisen alvorens de leverancier de diensten mag leveren. Met behulp van ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

ISAE 3402 best practice

De inhoud van een ISAE 3402 rapportage is vormvrij. Wel zitten er een aantal verplicht op te nemen onderdelen in, namelijk:

  • Een beschrijving van het control raamwerk
  • Een bevestiging van de service-organisatie
  • Een service auditor assurance rapport

Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan.

In Nederland is een zogenaamde ‘best practice’ voor het opstellen van een ISAE 3402 rapport. Daarin staat een vastgestelde indeling en een manier waarop de beheersmaatregelen (controls) beschreven kunnen worden. De onderdelen die in de best practice staan vernoemd:

  • Een algemene beschrijving
    Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
    Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
    De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

De ISAE 3402 verklaring

Tijdens een audit wordt door een auditor getoetst of alle maatregelen (controls) die binnen de scope vallen ook daadwerkelijk zijn opgenomen en worden nageleefd. Na de audit wordt de ISAE rapportage voorzien van een ‘assurance mededeling’ volgens Standaard 3402. Dit wordt ook wel een ISAE 3402 certificering genoemd, maar officieel is het geen certificaat maar een assurance rapportage. Een ISAE 3402 leidt dan ook niet tot een (ISO) certificaat.

Er zijn twee typen ISAE 3402 verklaringen, namelijk type 1 en type 2. De rapporten behorende bij deze typen verklaringen zijn inhoudelijk hetzelfde. Het verschil zit hem echter in de uitgevoerde controle.

  • Type 1: Er wordt onderzocht of er een beleid en proces zijn beschreven omtrent de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het ISAE-rapport overeenkomt met de daadwerkelijke situatie.
  • Type 2: De organisatie verzamelt over een proces of tool gedurende zes maanden bewijslast met daarbij behorende risico’s en maatregelen. De auditor bekijkt de manier waarop maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.

Met een type 2 verklaring heeft een organisatie meer zekerheid dat de dienstverlening wordt beheerst op de manier waarop men met elkaar is overeengekomen.

Ondersteuning nodig?

Wil je aan de slag met een ISAE 3402 verklaring, maar weet je niet waar je moet starten of heb je vragen? Neem dan gerust contact met ons op. Onze adviseur helpt je graag vooruit met de ISAE 3402.

NEEM CONTACT OP


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl