IT security en AVG zekerheid met ISAE 3402
Aantoonbare informatiebeveiliging
Wat is ISAE 3402?
ISAE 3402 is een internationaal herkende standaard voor het verlenen van assurance over de beheersing van bedrijfs-, IT security- en privacyrisico’s. Een ISAE 3402-verklaring is een oordeel van een onafhankelijke auditor, de verklaring wordt op basis van een audit afgegeven. De diepgang van de audit uitgevoerd volgens de ISAE standaard is toereikend om de feitelijke toepassing van specifieke beheersmaatregelen over een specifieke periode vast te stellen. In de bijbehorende assurance rapportage wordt daarmee een uitspraak gedaan over het ontwerp (opzet) en de structurele uitvoering (werking) gedurende een bepaalde periode van die maatregelen. Een assurance rapportage geeft uw klanten hiermee meer zekerheid dan bijvoorbeeld ISO certificaten. De vraag naar ISAE 3402 assurance rapportages neemt hierdoor ook snel toe.
Lees verder op onze informatiepagina: ISAE 3402.
Verschil ISAE 3402 type 1 en ISAE 3402 type 2
- ISAE 3402 type I: een ISAE type I rapportage geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd;
- ISAE 3402 type II: een ISAE type II rapportage geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. Hierbij wordt gekeken of de beheersmaatregelen gedurende een periode van normaliter 1 jaar hebben gewerkt om de beheersdoelstellingen te behalen.
Voordelen ISAE 3402
ISAE 3402 levert de volgende voordelen op voor uw organisatie:
- Toont aan (potentiële) klanten uw kwaliteit aan;
- Verhoogt de kwaliteit van uw processen;
- Het antwoord op audits en compliance vragen;
- Onderscheidt je van de concurrent;
- ‘In control’ uitstraling naar klanten;
- Ondersteunt bij professionalisering.
Verschillen tussen ISAE 3402 en ISAE 3000
Het verschil met ISAE 3000 is dat de ISAE 3402 standaard in tegenstelling tot de ISAE 3000 standaard toegepast wordt wanneer financiële en/of operationele processen zijn uitbesteed aan een service organisatie. De ISAE 3000 standaard is daarentegen generiek toepasbaar bij een breed scala aan vraagstukken.
Verschillen tussen ISAE 3402 en ISO 27001
Met een ISO 27001 certificaat toon je aan een managementsysteem rondom informatiebeveiliging te hebben. Informatiebeveiligingsprocessen en -maatregelen worden niet structureel op werking getest. Met een assurance rapport volgens ISAE 3402 wordt aantoonbaar dat beheersingsmaatregelen zijn ontworpen, ingericht én structureel worden uitgevoerd. Dit geeft meer zekerheid aan de eindgebruiker van een (IT) service organisatie.
Aantoonbare privacy en IT beheersing
Informatiebeveiliging is een belangrijk onderdeel van privacy en wordt gecertificeerd volgens ISO 27001. Deze standaard is echter niet toegesneden op privacy specifieke aspecten uit de AVG, daarnaast is ISO 27001 certificering onvoldoende diepgaand om de structurele toepassing (werking) van de maatregelen vast te stellen. Deze lacune wordt opgevuld door een ISAE assurance rapportage. Een assurance rapportage volgens de ISAE 3000 of 3402 standaard kan qua reikwijdte optimaal worden afgestemd op de (privacy) assurance behoefte van zijn gebruikers. Tevens is de diepgang van de audit toereikend om de werking van maatregelen aan te tonen. De assurance rapportage is hét middel om zekerheid te verschaffen over het behalen van privacy doelstellingen.
ISAE 3402 raamwerk
Hoek en Blok heeft in samenwerking met GreenDots een raamwerk ontwikkeld waarin de vereiste privacy maatregelen zijn vertaald naar algemeen gangbare bestaande bedrijfsprocessen. Hiermee wordt privacy optimaal geïntegreerd in bestaande processen, waardoor slechts een beperkt aantal aanvullende processen dienen te worden ingeregeld.
Het Hoek en Blok privacy raamwerk is gebaseerd op actuele privacy raamwerken en zal worden aangesloten op het door de Nederlandse Orde van Register EDP-Auditors (NOREA) te publiceren Privacy Control Framework. Hiermee vormt het Hoek en Blok privacy raamwerk een solide basis voor het verstrekken van zekerheid over privacy volgens de internationale assurance standaarden ISAE 3402.
Wat is een Third Party Memorandum (TPM) verklaring?
Een Third Party Memorandum (TPM) verklaring is een verklaring die wordt afgegeven door een onafhankelijke partij. Een TPM-verklaring toont de kwaliteit van de IT-dienstverlening en -beheersing van organisaties.
Nog even rustig verder lezen?
of
ISAE 3402
Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3402 Assurance rapportages af om de beheersing aan je klanten aan te tonen.
Transformeer jouw IT. Bescherm je bedrijf.
Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.
Neem vandaag nog contact op en versterk je IT!