Duidelijkheid in het oerwoud der certificeringen en assurance-rapportages
ISO 27001 | ISAE 3000 | ISAE 3402 | SOC 1 |SOC 2
ISAE 3402
ISAE 3402 is een internationaal herkende standaard voor het verlenen van assurance over de beheersing van bedrijfs-, IT security- en privacyrisico’s. Het verschil met ISAE 3000 is dat de ISAE 3402 standaard ook is bedoeld om te rapporteren over de interne beheersing van een service-organisatie voor de financiële verslaggeving van klantorganisaties. Een ISAE 3402-verklaring is een oordeel van een onafhankelijke auditor, de verklaring wordt op basis van een audit afgegeven. De diepgang van de audit uitgevoerd volgens de ISAE standaard is toereikend om de feitelijke toepassing van specifieke beheersmaatregelen over een specifieke periode vast te stellen.
In de bijbehorende assurance rapportage wordt daarmee een uitspraak gedaan over het ontwerp (opzet) en de structurele uitvoering (werking) gedurende een bepaalde periode van die maatregelen. Een assurance rapportage geeft uw klanten hiermee meer zekerheid dan bijvoorbeeld ISO certificaten. De vraag naar ISAE 3402 assurance rapportages neemt hierdoor ook snel toe.
Er zijn twee soorten ISAE 3402 rapportages:
- ISAE 3402 type I: een ISAE type I rapportage geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd;
- ISAE 3402 type II: een ISAE type II rapportage geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. Hierbij wordt gekeken of de beheersmaatregelen gedurende een periode van normaliter 1 jaar hebben gewerkt om de beheersdoelstellingen te behalen. Dit geeft klanten van de service organisatie zekerheid dat maatregelen daadwerkelijk structureel zijn uitgevoerd.
ISAE 3000
ISAE (International Standard on Assurance Engagements) 3000 is een internationaal erkende audit standaard. Deze standaard wordt gebruikt om zekerheid te geven over uitbestede bedrijfsprocessen. ISAE 3000 wordt uitsluitend toegepast als de uitbesteding géén verband houdt met financiële verslaglegging van klantorganisaties. ISAE 3000 is vooral gericht op zekerheid over continuïteit, beveiliging en privacy.
Het rapport waarin deze standaard is opgenomen, wordt gebruikt bij het uitvoeren van een IT audit en is gebaseerd op de ISAE 3000 controls. Dit rapport toont aan dat de intern ingerichte beheerprocessen binnen een organisatie ook daadwerkelijk worden uitgevoerd zoals ze vooraf beschreven zijn.
Met deze onafhankelijke toetsing geeft de organisatie (potentiële) klanten bovendien zekerheid over de kwaliteit van de dienstverlening.
SOC 1
SOC (Service Organization Control (report)) 1 is een van de leden van een familie van drie rapportagetypen, die bestaat uit:
- SOC 1 – assurance-rapport over interne beheersing bij service-organisaties in relatie tot de financiële verslaggeving, bedoeld voor de klanten van de service-organisatie en hun toezichthouders;
- SOC 2 – assurance-rapport over interne beheersing bij service-organisaties, bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders;
- SOC 3 – verkort assurance-rapport over interne beheersing bij service-organisaties bedoeld voor het algemeen verkeer.
Simpel gezegd is SOC 1 een andere benaming voor een ISAE 3402 rapport. SOC 1 is de merknaam voor de Amerikaanse implementatie van ISAE 3402, de opvolger van de Amerikaanse standaard SAS 70. Wij van Hoek en Blok IT gebruiken de benaming ‘ISAE 3402’. In een SOC 1 rapportage wordt het privacy vraagstuk niet verplicht opgenomen, dit is bij SOC 2 wel het geval.
In tegenstelling tot ISAE 3402 is bij SOC 1 voor een type II-rapport geen minimumperiode voorgeschreven en is het aan de auditor om vast te stellen of de door de IT-serviceorganisatie gedefinieerde periode acceptabel is, geven het doel van de rapportage. Daarnaast is een groot verschil met een ISAE 3402-rapport dat voor een SOC 1-rapport de op te nemen beheersdoelstellingen vastliggen in een raamwerk.
SOC 2
SOC (Service Organization Control (report)) 2 maakt net als SOC 1 deel uit van de familie van drie rapportagetypen:
- SOC 1 – assurance-rapport over interne beheersing bij service-organisaties in relatie tot de financiële verslaggeving, bedoeld voor de klanten van de service-organisatie en hun toezichthouders;
- SOC 2 – assurance-rapport over interne beheersing bij service-organisaties, bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders;
- SOC 3 – verkort assurance-rapport over interne beheersing bij service-organisaties bedoeld voor het algemeen verkeer.
SOC 2 maakt gebruik van voorgeschreven criteria en wordt toegepast voor assurance over niet-financiële informatie. In tegenstelling tot een SOC 1 rapportage wordt bij een SOC 2 rapportage het privacy vraagstuk veelal meegenomen.
ISO 27001
Certificering volgens ISO27001 is al geruime tijd gemeengoed. Veel organisaties hanteren deze certificering om aan te tonen dat de beveiliging van informatie in hun organisatie geborgd is. Ook ter verantwoording van naleving van privacy wordt ISO27001 steeds vaker aangehaald. De doelstellingen van informatiebeveiliging richten zich echter primair op de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Privacy specifieke vraagstukken gebaseerd op de rechten van personen en de verantwoordelijkheid van organisaties maken hier geen onderdeel vanuit. Zo zijn in de ISO 27002 standaard geen beheersdoelstellingen opgenomen die ingaan op de rechten van betrokkenen en de verplichtingen van organisaties in de context van privacy. Het zijn juist deze verplichtingen die het onderscheid tussen informatiebeveiliging en privacy bepalen. Zo bevat informatiebeveiliging bijvoorbeeld geen beheersdoelstellingen gericht op inzage, portabiliteit, verwerkersovereenkomsten, register van verwerkingen, anonimisering, bewaartermijnen en datalekken. Informatiebeveiliging biedt belangrijke waarborgen voor privacy (en is een belangrijk thema in de AVG), maar privacy vraagt meer dan informatiebeveiliging alleen.
Bij certificering ISO 27001 wordt beoordeeld of een organisatie een adequaat Information Security Management System (ISMS) heeft geïmplementeerd, met als doel de juiste maatregelen te treffen om beveiliging van informatie te borgen. De certificering beoordeelt echter niet of de beveiliging van informatie ook is toegepast; of de maatregelen gedurende een periode (bijvoorbeeld een kalenderjaar) daadwerkelijk zijn uitgevoerd en dus goed hebben gewerkt. Certificering is beperkt tot het beoordelen van het ontwerp van de maatregelen (de opzet) en of de uitvoering kan worden aangetoond (bestaan). In het kader van de AVG betekent dit dat de verwerkingsverantwoordelijke op basis van een ISO 27001 certificaat van de verwerker niet kan vaststellen dat de maatregelen daadwerkelijk zijn toegepast en gedurende een langere periode hebben gewerkt. Of privacy dus is gewaarborgd of verbetering behoeft is niet bekend.
ISO 27001 is niet toegesneden op alle relevante aspecten van privacy, en daarnaast is de certificering onvoldoende diepgaand om de werking van de maatregelen vast te stellen. Deze lacune kan worden opgevuld door een ISAE assurance rapportage.
ISAE 3402
Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3402 Assurance rapportages af om de beheersing aan je klanten aan te tonen.
Transformeer jouw IT. Bescherm je bedrijf.
Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.
Neem vandaag nog contact op en versterk je IT!