De ISAE is niet zozeer een norm. Het is een controle systematiek en is vooral van belang als essentiële processen worden uitbesteedt. De eisen die de opdrachtgever stelt op het gebied van informatiebeveiliging bepaalt hoe het normenkader eruit moet zien. Vaak kiest men dan voor de eisen zoals die zijn opgenomen in de ISO 27001 norm of de eisen uit de Trust Service Principles. Eventueel aangevuld met nog enkele specifieke eisen van de opdrachtgever.
Een ISAE 3402 verklaring geeft aan of de organisatie in de praktijk ook daadwerkelijk werkt volgens de afgesproken in haar eigen kader opgestelde norm eisen. Daarmee kan je objectief aantonen dat de geïmplementeerde norm in de praktijk ook ‘effectief’ is.
De ISAE 3402 is het meest gebruikt binnen de informatiebeveiliging. Een goede beschikbaarheid, integriteit en vertrouwelijkheid van informatie is bij uitstek van groot belang voor de continuïteit. En daarmee de kwaliteit van de leverancier.
Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van IB al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen normenkader op voor de ISAE. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren.
We stellen een concreet projectplan op met daarin een heldere planning en rolverdeling. Zo weet je als organisatie precies waar je aan toe bent.
De ISAE 3402 is voor de inhoud vaak gebaseerd op het addendum van de ISO 27001 norm. Dit is een zogenoemde “risk-based” norm, waarbij de maatregelen afgestemd moeten zijn op de risico’s die je als organisatie loopt. Wij bepalen tijdens een risicoanalyse samen met je medewerkers de kritische onderdelen van de organisatie. Op basis van het verschil tussen je risicoprofiel en je risicobereidheid bepalen we samen met jou een compacte set maatregelen.
Indien er geen managementsysteem voor informatiebeveiliging is, en je dit als organisatie wel wil implementeren, richten wij deze samen met jou in.
Belangrijk voor het succes van de geïmplementeerde maatregelen is dat je medewerkers zich bewust zijn van de cybersecurity risico’s. Daarom besteden we ruim aandacht aan het verbeteren van het bewustzijn van de medewerkers door hen actief te betrekken tijdens de inrichting.
Als voorbereiding op de externe controle voeren we de interne audit uit vanuit een onafhankelijke rol. Zie het als een soort generale repetitie voor de externe controle. We beoordelen de volledigheid en kwaliteit van de documentatie en voeren een aantal interviews uit om de juiste werking van de opgestelde maatregelen vast te stellen.
We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de maatregelen en/of het ISMS . De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.
Bij een ISAE 3402 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.
We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de maatregelen en/of het ISMS uitvoert. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.
Nadat je de verklaring hebt ontvangen, helpen we je bij het actueel houden van de maatregelen en/of het ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het uitvoeren van alle jaarlijkse verplichte onderdelen.
Vul de complete en gedetailleerde lijst in met alle onderwerpen van de ISAE 3402. De ISAE 3402 checklist geeft een duidelijk overzicht en eerste stap richting je certificering.
Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Er is een aantal overeenkomsten, maar vooral ook verschillen:
Kies je voor BMGRIP, dan kies je voor een partner die jouw organisatie naar een ISAE 3402 verklaring begeleidt. Ontdek hoe BMGRIP je hierbij kan helpen. Neem contact op!
XX
XX
Schakel binnen 24 uur met onze consultants.