Diensten

Advies bij ISAE 3402

Advies bij opzetten ISAE 3402 

De behoefte aan ISO 27001 en ISAE 3402 verklaringen ontstaat meestal doordat opdrachtgevers van organisaties hierom vragen. Bedrijven moeten kunnen aantonen dat zij voldoen aan hetgeen is afgesproken. Dat is een direct gevolg van ketenintegratie, organisaties zijn steeds meer afhankelijk van elkaar. Een standaardvoorbeeld is natuurlijk het uitbesteden van ICT-processen: dit speelt al jaren bij datacenters en ICT-organisaties. 

Wat houdt ISAE 3402 eigenlijk in? 

ISAE 3402 is een normering voor de interne beheersingsmaatregelen van een organisatie die een service of dienst verleent aan een cliënt. Voor de cliënt is dit belangrijk voor de eigen interne beheersing. Een ISAE 3402 verklaring geeft een cliënt zekerheid dat de organisatie werkt zoals afgesproken. 

Om het verhaal nog iets ingewikkelder te maken zijn er twee soorten ISAE 3402 verklaringen, namelijk type 1 en type 2: 

  • Bij een ISAE 3402 type 1 verklaring wordt onderzocht of het beleid, de maatregelen en het proces zijn beschreven. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de werkelijke situatie. Dit sluit keurig aan op ISO 27001, vandaar ook dat het handig is om eerst ISO 27001 op te pakken. Om eerlijk te zijn zegt type 1 niet zo veel meer dan een ISO 27001 certificaat. Sterker nog, een ISO-certificaat geeft meer zekerheid omdat hierbij ook interne audits worden uitgevoerd om te controleren of de maatregelen daadwerkelijk worden toegepast. 
  • Bij een ISAE 3402 type 2 verklaring controleert de auditor ook de werking. Voor een type 2 verklaring wordt over een periode van minimaal zes maanden bewijslast verzameld over een proces of tool, met de daarbij behorende risico’s en beheersmaatregelen. De auditor kijkt daarbij naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen. 

Meer zekerheid 

Een ISAE 3402 type 1 rapport is gericht op één meetmoment en dus een momentopname. Zo’n verklaring is dan ook beperkt bruikbaar, omdat niet wordt aangetoond dat de maatregelen succesvol zijn voor een langere periode. In een type 2 rapport verklaart de auditor dat de beschreven maatregelen over een periode van zes maanden hebben gewerkt. Een ander verschil tussen beide types is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage. 

Dat maakt de audit voor ISAE 3402 type 2 dan ook een stuk uitgebreider dan die voor type 1. Regelmatig voorkomende beheersmaatregelen worden meerdere malen op verschillende momenten op hun effectieve werking gecontroleerd. Om zeker van hun zaak te zijn, zullen cliënten dan ook altijd naar een type 2 verklaring vragen. 

Wanneer is ISAE 3402 nodig?

Een ISAE 3402 type 2 verklaring geeft zekerheid over de structurele uitvoering van maatregelen (werking), terwijl bij ISO 27001 de maatregelen beperkt worden getoetst (bestaan). Ons advies is dan ook om eerst te starten met het goed implementeren van de ISO maatregelen. Vervolgens kijken we naar de noodzaak van een ISAE 3402 verklaring. En dan voegt eigenlijk alleen een type 2 verklaring daar iets aan toe.

Meer weten?

Wilt u meer weten over ISAE 3402 en wat inTECHrity hierin voor u kan betekenen? Neem dan contact met ons op, we maken graag kennis!

Neem contact op om kennis te maken met de specialisten van inTECHrity. Wij helpen u graag verder!

Meer weten over de diensten en knowhow van inTECHrity? Wij maken graag kennis en onze specialisten helpen u graag verder!

Om bepaalde functionaliteiten zoals het onderzoeken van uw gedrag op onze website aan te bieden gebruiken wij analytische en tracking cookies op onze website. Omdat we uw privacy belangrijk vinden, vragen we u de tracking cookies te accepteren. Wilt u eerst meer informatie over onze Cookie-policy, klik dan op ‘Meer informatie’.


Meer informatie