ISAE 3402 nodig? Volg ons stappenplan!
Hoek en Blok.IT
Jouw klanten willen dat jij aantoonbaar in control bent. Met een SOC, ISAE 3402 of ISAE 3000-verklaring in handen, kun je aan klanten bewijzen dat de informatiebeveiliging binnen jouw bedrijf van hoog niveau is. Prettig, want dit geeft klanten de zekerheid dat de gegevensverwerking veilig is van de diensten die zij aan jou aanbesteden. Maar hoe kom jij als bedrijf aan een IT-assurance verklaring? IT-adviseur Marius Verboom helpt je op weg.
Binnen Hoek en Blok.IT werken we met een overzichtelijk vier-stappenplan om een SOC of ISAE-verklaring te behalen. Bij SOC en ISAE onderscheiden we twee soorten rapportages: een type I- en een type II-beoordeling. Bij een type I-beoordeling gaat het om een momentopname en kijken we of de getroffen maatregelen toereikend zijn om een gesteld doel te behalen.
Een type II-audit gaat een stuk verder. Dan kijkt onze IT-auditor naar een langere periode; meestal richt de audit zich op 6 tot 12 maanden. Aanvullend op de type I-audit beoordeelt de auditor de werking van de geïmplementeerde maatregelen en of deze maatregelen in de vastgestelde periode structureel zijn uitgevoerd. Vind je het lastig om te bepalen welke type verklaring voldoet om aan jouw klanten te laten zien dat je in control bent? Onze IT-auditors denken graag met je mee.
1. Bepalen van de scope
Laat jij een SOC- of ISAE-audit door ons uitvoeren? Dan beginnen we altijd eerst met het vaststellen van de scope. Zo stellen we vast voor welke dienstverlening een verklaring wordt verstrekt. Daarnaast brengen we in kaart wat jullie belangrijkste processen zijn, waar mogelijke kwetsbaarheden zitten en kijken we naar de relevante IT-architectuur.
2. Nulmeting en ontwerp controls framework
In de tweede stap zoomen we nog verder in op mogelijke kwetsbaarheden en voeren we een risicoanalyse uit. Vervolgens ontwikkel je samen met ons het zogeheten controls framework. In dit framework staat precies beschreven welke processen en maatregelen ervoor zorgen dat systemen veilig zijn en data is beschermd.
3. Uitvoeren implementatie en monitoring
Nu je in beeld hebt hoe je zorgt voor beschermde data en veilige systemen, is het tijd om de maatregelen ook daadwerkelijk in te voeren. Om te zorgen dat je aantoonbaar in control bent, is het zaak dat je niet alleen de maatregelen invoert, maar ook zorgt dat de maatregelen periodiek uitgevoerd worden. In stap drie valt ook de monitoring van de ingerichte maatregelen. Zo houd je inzicht in de voortgang, en weet je welke maatregelen nog moeten worden uitgevoerd.
Is alles ingericht? Dan kun je ervoor kiezen om een type I-audit uit te voeren. Vervolgens kijkt onze IT-auditor naar de opzet en het uitvoeren van de ingerichte maatregelen.
4. Uitvoeren type II-audit
Voor nog meer zekerheid richting klanten, kun je er ook voor kiezen om een type II-audit te laten uitvoeren. In deze laatste stap is het dan belangrijk dat de ingerichte maatregelen ook aantoonbaar uitgevoerd worden. Onze IT-auditor stelt de assurance rapportage op om vervolgens de type II-audit uit te voeren. Is alles correct in- en uitgevoerd? Dan ben je de trotse bezitter van SOC- of ISAE-certificaat.
Lees meer over IT-assurance verklaringen
Kies voor de aanpak van Hoek en Blok IT
Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC Assurance rapportages af om beheersing voor jouw klanten aan te tonen.
Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.
Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.
Meer informatie? Vul het formulier in en we nemen contact met je op.