ISAE3402 of ISAE3000

De laatste jaren besteden veel bedrijven activiteiten uit aan gespecialiseerde serviceorganisaties. Daarmee ontzorgen deze organisaties uw bedrijf. Het vraagt wel wederzijds vertrouwen en transparantie. U verwacht natuurlijk ook dat serviceorganisaties gemaakte afspraken naleven. Ook toezichthouders eisen hierover bepaalde zekerheden. Een zogenaamde Service Organisatie Control (SOC)-rapportage biedt deze zekerheden.

Er zijn twee vormen van SOC-rapportages:

• De ISAE 3402: deze is van toepassing als een serviceorganisatie financiële informatie van uw organisatie verwerkt.
• De ISAE 3000: deze is van toepassing als er een internationale standaard nodig is voor de beveiliging van gegevens (ook niet-financiële informatie).

In de type 1-rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De IT-auditor toetst bij een ISAE 3000 type 1- audit of deze maatregelen toereikend zijn voor het gestelde doel.

Een type 2- rapport is identiek aan een ISAE 3000 type 1 rapportage. De audit is alleen uitgebreider omdat de IT-auditor ook de effectieve werking van beheersmaatregelen toetst. Dat betekent dat hij toetst of de benodigde maatregelen aanwezig zijn én of deze maatregelen gedurende een periode de doelstellingen ook zijn behaald. Dat betekent dat de auditor 2 à 3 keer per jaar deelwaarnemingen verricht om vast te stellen dat het geheel van de beheersingsmaatregelen effectief werken.

Stap voor stap

Samen met u inventariseren we welk type ISAE-rapportage het beste bij uw dienstverlening aansluit en wat de scope is van de rapportage. Vervolgens voert u serviceorganisatie een risicoanalyse uit en stelt u het beheersingsraamwerk (control framework) op. Samen met de organisatie stellen we vast welke beheersmaatregelen voor uw organisatie noodzakelijk zijn. Door het uitvoeren van een audit toetsen we of de beheersmaatregelen gedurende de aangegeven periode werkten. Ten slotte komen we tot een onafhankelijk oordeel en stellen we het assurance rapport op dat onderdeel vormt van uw SOC-rapportage. 

Samengevat doorlopen we de volgende zes stappen:

1. Inventarisatie
2. Review risicoanalyse & control framework
3. Vaststellen opzet en bestaan
4. Toetsen werking
5. Oordeelsvorming
6. Rapportage

Nen 7510

De nationale norm NEN7510-1 is vooral gericht op zorgsystemen en lijkt veel op ISO27001. Is uw bedrijf werkzaam in deze sector? Dan bestaat de kans dat u moet voldoen aan deze norm. De NEN7510-1 is gericht op het implementeren en onderhouden van het zogenaamde Information Security Management System (ISMS). Dit systeem moet ervoor zorgen dat uw organisatie grip krijgt én houdt op de risico's die bestaan rond de processen van informatievoorziening.

De NEN7510-2 is een gids om de genoemde normen te implementeren uit de bijlage van de NEN7510-1. Het is niet mogelijk uw bedrijf te certificeren voor NEN7510-2. Wel kunt u uw bedrijf certificeren door een effectieve en aantoonbare implementatie van NEN7510-1. Onze auditors hebben inzicht in en kennis van de complexiteit van deze kaders. Daarom begeleiden wij uw organisatie graag naar een succesvolle implementatie van NEN7510-1.

DigiD

Bedrijven gebruiken DigiD om de authenticiteit van klanten te beoordelen bij het aanbieden van diensten. Het is logisch dat de overheid van deze bedrijven vraagt dat ze voldoen aan een aantal wettelijke eisen. Dit is het zogenaamde DigiD-normenkader versie 2 uit 2017. Door het uitbrengen van een assurance-rapportage (de zogenaamde TPM) duiden we per norm aan of uw bedrijf voldoet aan de gestelde eisen.