ISAE 3402: begeleiding bij documentatie in inrichting

Besteed je cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat er geen verstoring in deze processen optreedt. Dat kan belangrijke invloed hebben op de continuïteit van je organisatie. 

Om zeker te zijn dat de belangrijke aspecten zoals risico management, de interne beheersing of bijvoorbeeld data integriteit goed zijn geregeld, biedt een ISAE 3402 verklaring uitkomst. Het is de internationale assurance standaard voor zekerheid bij outsourcing.

Waarom een ISAE 3402 verklaring?

De ISAE is niet zozeer een norm. Het is een controle systematiek en is vooral van belang als essentiële processen worden uitbesteedt. De eisen die de opdrachtgever stelt op het gebied van informatiebeveiliging bepaalt hoe het normenkader eruit moet zien. Vaak kiest men dan voor de eisen zoals die zijn opgenomen in de ISO 27001 norm of de eisen uit de Trust Service Principles. Eventueel aangevuld met nog enkele specifieke eisen van de opdrachtgever.

Een ISAE 3402 verklaring geeft aan of de organisatie in de praktijk ook daadwerkelijk werkt volgens de afgesproken in haar eigen kader opgestelde normeisen. Daarmee kan je objectief aantonen dat de geïmplementeerde norm in de praktijk ook ‘effectief’ is.

De ISAE 3402 is het meest gebruikt binnen de informatiebeveiliging. Een goede beschikbaarheid, integriteit en vertrouwelijkheid van informatie is bij uitstek van groot belang voor de continuïteit. En daarmee de kwaliteit van de leverancier. 

Voordelen van ISAE 3402 verklaring

  • Je organisatie is aantoonbaar “in-control” 
  • Je bent weerbaar tegen de toenemende cybersecurity risico’s 
  • Concurrentievoordeel bij aanbestedingen  
  • Zekerheid en rust voor het management en accountant van de gebruikersorganisatie.

Download de ISAE 3402 checklist

  • Wat de ISAE 3402 inhoudt
  • Meer over de verschillende onderdelen
  • Hoe je de eerste stappen kunt zetten
  • Waar binnen jouw organisatie de aandachtspunten liggen

Stappenplan voor een ISAE 3402 Verklaring

Ons stappenplan voor een ISAE 3402 verklaring verloopt als volgt:

#1 Nulmeting

Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van IB al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen normenkader op voor de ISAE. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren.

#2 Risicoanalyse

De ISAE 3402 is voor de inhoud vaak gebaseerd  op het addendum van de ISO 27001 norm. Dit is een zogenoemde “risk-based” norm, waarbij de maatregelen afgestemd moeten zijn op de risico’s die je als organisatie loopt. Wij bepalen tijdens een risicoanalyse samen met je medewerkers de kritische onderdelen van de organisatie. Op basis van het verschil tussen je risicoprofiel en je risicobereidheid bepalen we samen met jou een compacte set maatregelen.

#3 Managementsysteem

Indien er geen managementsysteem voor informatiebeveiliging is, en je dit als organisatie wel wil implementeren, richten wij deze samen met jou in.

#4 Bewustwording

Belangrijk voor het succes van de geïmplementeerde maatregelen is dat je medewerkers zich bewust zijn van de cybersecurity risico’s. Daarom besteden we ruim aandacht aan het verbeteren van het bewustzijn van de medewerkers door hen actief te betrekken tijdens de inrichting.

#5 Interne audit en directiebeoordeling

Als voorbereiding op de externe controle voeren we vanuit een onafhankelijke rol de interne audit uit. Zie het als een soort generale repetitie voor de externe controle. We beoordelen de volledigheid en kwaliteit van de documentatie en voeren een aantal interviews uit om de juiste werking van de opgestelde maatregelen vast te stellen.

#6 Type 1 controle

We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de maatregelen en/of het ISMS . De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.

#7 Opbouwen registraties

Bij een ISAE 3402 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.

#8 Type 2 controle

We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de maatregelen en/of het ISMS uitvoert. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.

#9 Onderhoud

Nadat je de verklaring hebt ontvangen, helpen we je bij het actueel houden van de maatregelen en/of het ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het uitvoeren van alle jaarlijkse verplichte onderdelen.

ISO 27001 stappen

Vraag: ISAE 3402 en/of ISO 27001?

Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Er is een aantal overeenkomsten, maar vooral ook verschillen:

Overeenkomst:

  • In beide gevallen dient er een set aan beheersmaatregelen op het gebied van informatiebeveiliging geïmplementeerd wordt om risico’s te verkleinen

Verschillen:

  • Om gecertificeerd te worden voor ISO 27001 moet het ISMS minimaal drie maanden in de praktijk werken. Voor een ISAE verklaring is dat zes maanden.
  • Een ISAE 3402 controle is intensiever dan een ISO 27001 audit en kost in de praktijk tot drie keer zo veel tijd als een ISO 27001 audit. Dat komt doordat een EDP-auditor uitvoerige controles uitvoert in de systemen en applicaties.
  • Bij een ISAE 3402 controle wordt vastgesteld of je in het verleden aan de eisen hebt voldaan. Terwijl bij een ISO 27001 audit meer aandacht uitgaat naar continue verbetering. De ISAE 3402 verklaring heeft betrekking op het afgelopen jaar, terwijl een ISO 27001 certificaat geldt voor de komende drie jaar.
  • Een ISO 27001 certificaat dien je te behalen voor de gehele organisatie (en dus alle klanten die je bedient) terwijl je een ISAE 3402 verklaring kan halen voor 1 klant.

Neem contact op

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Download je persoonlijke ISAE 3402 checklist

Vul de complete en gedetailleerde lijst in met alle onderwerpen van de ISAE 3402. De ISAE 3402 checklist geeft een duidelijk overzicht en eerste stap richting je certificering.

ISMS ISO 27001

ISAE 3402: BMGRIP als jouw vertrouwde partner

Wij zijn gespecialiseerd in het begeleiden van organisaties voor een ISAE 3402 verklaring. Neem vandaag nog contact met ons op. Wij sparren graag met je verder.

Lees meer over informatiebeveiliging

AI & jouw organisatie: to act or not to act?

Snellere en nauwkeurigere diagnoses in de gezondheidszorg of inbreuk op privacy door gezichtsherkenningstechnologie? De opkomst van AI brengt zowel positieve als negatieve impact. De AI Act is bedoeld dit (beter) te reguleren. In deze blog wordt besproken wát de AI Act inhoudt en wat dit voor jouw organisatie betekent.