ISAE 3402: Aantoonbare IT risk assurance

De ISAE 3402 is een IT assurance rapport waarmee organisaties aantoonbaar kunnen maken dat ze in control zijn over hun IT en dat processen op de juiste manier zijn ingericht en worden uitgevoerd. Kiwa heeft jarenlange ervaring op het gebied van informatiebeveiliging en certificering hiervan in diverse sectoren.

Ontvang een offerte op maat

+31 (0)88 998 49 00 Neem contact met ons op Offerte aanvragen

Als dienstverlenende organisatie kunt u vandaag de dag niet zonder erkenning door middel van externe certificering. Klanten verlangen aantoonbare kwaliteit. Naast ISO en SAS70 wordt ook ISAE 3402 steeds vaker gevraagd. Het is een van de weinige certificeringen waarbij maatregelen van kwaliteit ook daadwerkelijk op werking worden getoetst. Het management van de organisatie moet ook nog eens schriftelijk verklaren dat het stelsel functioneert. Het zijn internationaal erkende certificeringen en bruikbaar over de hele wereld.

Wat is ISAE 3402?

De ISAE 3402 is geschikt voor organisaties die actief in de dienstverlening of organisaties die delen van hun bedrijfskritieke proces hebben uitbesteed en hierover een garantie willen hebben dat dit op de juiste manier is gebeurd. Denk hierbij aan vragen als: Hoe gaat mijn leverancier om met wet- en regelgeving op het gebied van privacy, zoals de AVG? En is er wel een goed wijzigingsproces?

ISAE 3402 Type 1 en Type 2

Bij een ISAE 3402 beoordeelt een onafhankelijke (RE-)auditor de kwaliteit van de uitbestede activiteiten van een serviceorganisatie aan de gebruikersorganisatie en het daardoor ‘in-control’ zijn over deze activiteiten door de gebruikersorganisatie. De ISAE 3402 verklaring kan afgegeven worden in een Type 1 en Type 2 verklaring/ rapportage.

ISAE 3402 Type 1 Opzet en bestaan
Doordat een ISAE 3402 type 1 assurance rapport betrekking heeft op één specifieke datum, is een type 1 rapportage voor een gebruikersorganisatie en haar accountant beperkt bruikbaar omdat hieruit niet blijkt of maatregelen ook goed gewerkt hebben gedurende een bepaalde periode. Een ander verschil tussen een type 1 en een type 2 rapportage is dat de auditor zijn bevindingen niet verplicht hoeft op te nemen in de rapportage.
ISAE 3402 Type 2 Opzet, bestaan en werking
Een ISAE 3402 type 2 is inhoudelijk hetzelfde rapport als een type 1 rapport. Hierbij is alleen in de verklaring van de RE auditor nog opgenomen dat de beschreven beheersmaatregelen over een periode van minimaal zes maanden effectief gewerkt hebben. Een gevolg hiervan is dat de controle veel uitgebreider is dan een type 1 audit. Zo worden beheersmaatregelen die iedere dag worden uitgevoerd tussen de 15 tot 25 per jaar getoetst op hun effectieve werking.

Een organisatie heeft met een type 2 rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type 2 audit plaatsvindt, is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of een nieuw IT-systeem.

ISAE 3402 audit

De ISAE 3402 audit ziet er op hoofdlijnen als volgt uit. Allereerst wordt de scope bepaald. Hierbij wordt gekeken naar de organisatie, haar beleid en processen en de maatregelen die geïmplementeerd zijn en het beoogde doel wat getracht wordt te bereiken. Op basis hiervan wordt een GAP-analyse uitgevoerd. Zo wordt bepaalt waar u staat, waardoor u eventuele tekortkomingen nog in orde kunt maken.

Hierna vindt de daadwerkelijke toetsing plaats waarbij de maatregelen getest en gevalideerd worden. Er wordt hierbij o.a. gekeken naar de effectiviteit, de relatie tot de geïdentificeerde risico’s en hoe het proces beheerst wordt. Over de bevindingen wordt vervolgens gerapporteerd en dit wordt met u inhoudelijk besproken. Omdat ISAE 3402 zich richt op de achterliggende periode zal deze audit op jaarlijkse basis plaatsvinden.

Verplichte aspecten ISAE-rapportage:

Een beschrijving van het interne controle raamwerk;
Een bevestiging van de serviceorganisatie;
Een service auditor assurance rapport.

Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de rapportage.

Waarom ISAE 3402 certificering door Kiwa?

Kiwa heeft jarenlange ervaring op het gebied van informatiebeveiliging en certificering hiervan in diverse sectoren. Een ISAE 3402 IT risk assurance rapport kan bijdragen een aan verdere diepgang in de aantoonbaarheid van de beheersing van de IT Processen aan klanten en andere stakeholders.

Kiwa kan hierbij helpen door middel van het uitvoeren van:

Workshop – gezamenlijk vaststellen wat de scope van het onderzoek wordt;
Tussentijdse GAP-analyses – weten waar u staat;
ISAE 3402 Type I assurance rapport – Opzet en bestaan van uw maatregelen;
ISAE 3402 Type II assurance rapport – Opzet, bestaan en werking van uw maatregelen;

De ISAE 3402 certificering kan gecombineerd worden uitgevoerd met de ISO 27001. Hierbij wordt er een auditmoment gecreëerd en kunnen dezelfde auditoren worden ingezet voor beide audits.

Wilt u meer weten over ISAE 3402 certificering of hoe u deze norm kunt integreren met uw bestaande ISO 27001 certificering? Neem dan vrijblijvend contact met ons op.

Gerelateerde diensten

Interne beheersing aantonen: ISAE- en SOC-rapportages vergroten klantvertrouwen

Organisaties vragen steeds vaker aan leveranciers of ze een ISAE- of SOC-rapportage kunnen aanleveren. Zeker nu steeds meer organisaties werken met privacygevoelige klantinformatie, wordt aantoonbare aandacht voor informatiebeveiliging en cybersecurity steeds belangrijker. Kiwa heeft jarenlange ervaring op het gebied van ISAE- en SOC-rapportages en kan voor u de audit verzorgen.

CCV Keurmerk Pentesten

Organisaties krijgen steeds vaker te maken met ramsomware, hacks en andere vormen van cybercriminaliteit. Een veelgebruikt middel om kwetsbaarheden op te sporen is de penetratietest (of pentest), waarbij specialisten net als hackers proberen binnen te dringen in systemen of apps.

ISO 27001 certificering van managementsystemen voor informatiebeveiliging

ISO 27001-certificering via Kiwa: beveilig uw informatie en bouw vertrouwen op in uw merk.

ISO 27001 certificering: bescherm uw bedrijfsinformatie

ISO 27001 certificatie helpt u informatiebeveiliging gestructureerd aan te pakken. Kiwa's experts hebben alles in huis om uw organisatie voor te bereiden op ISO 27001 certificering. We hebben veel ervaring met ISO 27001 certificatie, van stappenplan tot information security management systeem (ISMS).

NEN 7510 certificering: zorg voor uw vertrouwelijke informatie

Kiwa beschikt over veel ervaring met betrekking tot de NEN 7510 certificeringen. Deze norm betreft de eisen voor informatiebeveiliging in de zorg. Kijk hier voor meer info!

AVG Certificering

Wilt u kunnen aantonen dat uw bedrijfsvoering voldoet aan de Algemene Verordening Gegevensbescherming (AVG)? Met een AVG-audit door Kiwa en de daaruit voortvloeiende AVG-certificaat laat u zien dat u in control bent als het gaat om de bescherming van privacygevoelige informatie.

Certificering ISO 9001 - Kwaliteitsmanagement

ISO 9001-certificering is de wereldwijd erkende norm voor kwaliteitsmanagementsystemen. Of u nu uw klanttevredenheid wilt verhogen, operationele efficiëntie wilt verbeteren of een concurrentievoordeel wilt behalen, ISO 9001 biedt het kader om uw organisatie te laten slagen.

Blijf op de hoogte

In onze nieuwsbrief geven we u updates over ontwikkelingen, klantcases, tips en achtergrondverhalen op gebied van cybersecurity. Zo bent u altijd op de hoogte van het laatste nieuws en ontwikkelingen!

Schrijf u nu in

Wat zijn IT-assurancerapportages?

Steeds meer organisaties kiezen voor IT-assurancerapportages als ISAE 3402 en SOC 2. Kiwa’s expert informatiebeveiliging Marjolein Veenstra en Jouke Albeda, directeur bij risk en compliance-specialist 3angles, leggen uit wat IT-assurancerapportages zijn.

Lees meer