ISAE 3402: begeleiding bij documentatie in inrichting
Besteed je cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat er geen verstoring in deze processen optreedt. Dat kan belangrijke invloed hebben op de continuïteit van je organisatie.
Om zeker te zijn dat de belangrijke aspecten zoals risico management, de interne beheersing of bijvoorbeeld data integriteit goed zijn geregeld, biedt een ISAE 3402 verklaring uitkomst. Het is de internationale assurance standaard voor zekerheid bij outsourcing.
Waarom een ISAE 3402 verklaring?
De ISAE is niet zozeer een norm. Het is een controle systematiek en is vooral van belang als essentiële processen worden uitbesteedt. De eisen die de opdrachtgever stelt op het gebied van informatiebeveiliging bepaalt hoe het normenkader eruit moet zien. Vaak kiest men dan voor de eisen zoals die zijn opgenomen in de ISO 27001 norm of de eisen uit de Trust Service Principles. Eventueel aangevuld met nog enkele specifieke eisen van de opdrachtgever.
Een ISAE 3402 verklaring geeft aan of de organisatie in de praktijk ook daadwerkelijk werkt volgens de afgesproken in haar eigen kader opgestelde normeisen. Daarmee kan je objectief aantonen dat de geïmplementeerde norm in de praktijk ook ‘effectief’ is.
De ISAE 3402 is het meest gebruikt binnen de informatiebeveiliging. Een goede beschikbaarheid, integriteit en vertrouwelijkheid van informatie is bij uitstek van groot belang voor de continuïteit. En daarmee de kwaliteit van de leverancier.
Voordelen van ISAE 3402 verklaring
- Je organisatie is aantoonbaar “in-control”
- Je bent weerbaar tegen de toenemende cybersecurity risico’s
- Concurrentievoordeel bij aanbestedingen
- Zekerheid en rust voor het management en accountant van de gebruikersorganisatie.
Download de ISAE 3402 checklist
- Wat de ISAE 3402 inhoudt
- Meer over de verschillende onderdelen
- Hoe je de eerste stappen kunt zetten
- Waar binnen jouw organisatie de aandachtspunten liggen
Stappenplan voor een ISAE 3402 Verklaring
Ons stappenplan voor een ISAE 3402 verklaring verloopt als volgt:
#1 Nulmeting
Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van IB al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen normenkader op voor de ISAE. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren.
#2 Risicoanalyse
De ISAE 3402 is voor de inhoud vaak gebaseerd op het addendum van de ISO 27001 norm. Dit is een zogenoemde “risk-based” norm, waarbij de maatregelen afgestemd moeten zijn op de risico’s die je als organisatie loopt. Wij bepalen tijdens een risicoanalyse samen met je medewerkers de kritische onderdelen van de organisatie. Op basis van het verschil tussen je risicoprofiel en je risicobereidheid bepalen we samen met jou een compacte set maatregelen.
#3 Managementsysteem
Indien er geen managementsysteem voor informatiebeveiliging is, en je dit als organisatie wel wil implementeren, richten wij deze samen met jou in.
#4 Bewustwording
Belangrijk voor het succes van de geïmplementeerde maatregelen is dat je medewerkers zich bewust zijn van de cybersecurity risico’s. Daarom besteden we ruim aandacht aan het verbeteren van het bewustzijn van de medewerkers door hen actief te betrekken tijdens de inrichting.
#5 Interne audit en directiebeoordeling
Als voorbereiding op de externe controle voeren we vanuit een onafhankelijke rol de interne audit uit. Zie het als een soort generale repetitie voor de externe controle. We beoordelen de volledigheid en kwaliteit van de documentatie en voeren een aantal interviews uit om de juiste werking van de opgestelde maatregelen vast te stellen.
#6 Type 1 controle
We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de maatregelen en/of het ISMS . De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.
#7 Opbouwen registraties
Bij een ISAE 3402 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.
#8 Type 2 controle
We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de maatregelen en/of het ISMS uitvoert. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.
#9 Onderhoud
Nadat je de verklaring hebt ontvangen, helpen we je bij het actueel houden van de maatregelen en/of het ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het uitvoeren van alle jaarlijkse verplichte onderdelen.
Vraag: ISAE 3402 en/of ISO 27001?
Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Er is een aantal overeenkomsten, maar vooral ook verschillen:
Overeenkomst:
- In beide gevallen dient er een set aan beheersmaatregelen op het gebied van informatiebeveiliging geïmplementeerd wordt om risico’s te verkleinen
Verschillen:
- Om gecertificeerd te worden voor ISO 27001 moet het ISMS minimaal drie maanden in de praktijk werken. Voor een ISAE verklaring is dat zes maanden.
- Een ISAE 3402 controle is intensiever dan een ISO 27001 audit en kost in de praktijk tot drie keer zo veel tijd als een ISO 27001 audit. Dat komt doordat een EDP-auditor uitvoerige controles uitvoert in de systemen en applicaties.
- Bij een ISAE 3402 controle wordt vastgesteld of je in het verleden aan de eisen hebt voldaan. Terwijl bij een ISO 27001 audit meer aandacht uitgaat naar continue verbetering. De ISAE 3402 verklaring heeft betrekking op het afgelopen jaar, terwijl een ISO 27001 certificaat geldt voor de komende drie jaar.
- Een ISO 27001 certificaat dien je te behalen voor de gehele organisatie (en dus alle klanten die je bedient) terwijl je een ISAE 3402 verklaring kan halen voor 1 klant.
Neem contact op
Download je persoonlijke ISAE 3402 checklist
Vul de complete en gedetailleerde lijst in met alle onderwerpen van de ISAE 3402. De ISAE 3402 checklist geeft een duidelijk overzicht en eerste stap richting je certificering.
ISAE 3402: BMGRIP als jouw vertrouwde partner
Wij zijn gespecialiseerd in het begeleiden van organisaties voor een ISAE 3402 verklaring. Neem vandaag nog contact met ons op. Wij sparren graag met je verder.
Lees meer over informatiebeveiliging
Realiteitszin bij het werken met de NEN 7510 in de zorg: balanceren tussen veiligheid en praktisch gemak
Vind de juiste balans tussen veiligheid en uitvoerbaarheid in de gezondheidszorg voor informatiebeveiliging! Cruciaal voor zorgmedewerkers: verbeter digitale vaardigheden en implementeer een ISMS op maat. Kritisch kijken naar normen zoals NEN 7510 is nu essentieel, met de IGJ die handhaving gaat afdwingen. Lees verder en ontdek alles over het
Optimaliseer privacy: 5 essentiële richtlijnen voor remote werkomgevingen
In 2024 waar flexibel werken de nieuwe norm is, is het waarborgen van privacy op afstand essentieel. Bescherming van bedrijfsinformatie en persoonsgegevens vereist extra aandacht, niet alleen wettelijk, maar ook om werknemersvertrouwen op te bouwen, reputatieschade te voorkomen en cyberdreigingen te minimaliseren.
AI & jouw organisatie: to act or not to act?
Snellere en nauwkeurigere diagnoses in de gezondheidszorg of inbreuk op privacy door gezichtsherkenningstechnologie? De opkomst van AI brengt zowel positieve als negatieve impact. De AI Act is bedoeld dit (beter) te reguleren. In deze blog wordt besproken wát de AI Act inhoudt en wat dit voor jouw organisatie betekent.
Informatieveiligheid aantoonbaar op orde
Alle ziekenhuizen moeten in 2023 NEN 7510 gecertificeerd zijn. Het is een kwestie van tijd voordat alle andere zorginstellingen ook aan de beurt zijn. Lees hier hoe u uw informatieveiligheid aantoonbaar op orde krijgt.