ISAE 3402

Besteed je cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat er geen verstoring in deze processen optreedt.

Vertrouwd door 1.500+ klanten in zorg en informatietechnologie

Waarom een ISAE 3402 verklaring?

De ISAE is niet zozeer een norm. Het is een controle systematiek en is vooral van belang als essentiële processen worden uitbesteedt. De eisen die de opdrachtgever stelt op het gebied van informatiebeveiliging bepaalt hoe het normenkader eruit moet zien. Vaak kiest men dan voor de eisen zoals die zijn opgenomen in de ISO 27001 norm of de eisen uit de Trust Service Principles. Eventueel aangevuld met nog enkele specifieke eisen van de opdrachtgever.

Een ISAE 3402 verklaring geeft aan of de organisatie in de praktijk ook daadwerkelijk werkt volgens de afgesproken in haar eigen kader opgestelde normeisen. Daarmee kan je objectief aantonen dat de geïmplementeerde norm in de praktijk ook ‘effectief’ is.

De ISAE 3402 is het meest gebruikt binnen de informatiebeveiliging. Een goede beschikbaarheid, integriteit en vertrouwelijkheid van informatie is bij uitstek van groot belang voor de continuïteit. En daarmee de kwaliteit van de leverancier.

Voordelen van ISAE 3402 verklaring

  • Je organisatie is aantoonbaar “in-control”
  • Je bent weerbaar tegen de toenemende cybersecurity risico’s
  • Concurrentievoordeel bij aanbestedingen
  • Zekerheid en rust voor het management en accountant van de gebruikersorganisatie.

Het stappenplan voor een ISAE 3402 verklaring

#1 Nulmeting

Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van IB al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen normenkader op voor de ISAE. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren.

We stellen een concreet projectplan op met daarin een heldere planning en rolverdeling. Zodat je als organisatie precies weet waar je aan toe bent.

#2 Risicoanalyse

De ISAE 3402 is voor de inhoud vaak gebaseerd op het addendum van de ISO 27001 norm. Dit is een zogenoemde “risk-based” norm, waarbij de maatregelen afgestemd moeten zijn op de risico’s die je als organisatie loopt. Wij bepalen tijdens een risicoanalyse samen met je medewerkers de kritische onderdelen van de organisatie. Op basis van het verschil tussen je risicoprofiel en je risicobereidheid bepalen we samen met jou een compacte set maatregelen.

#3 Managementsysteem

Indien er geen managementsysteem voor informatiebeveiliging is, en je dit als organisatie wel wil implementeren, richten wij deze samen met jou in.

#4 Bewustwording

Belangrijk voor het succes van de geïmplementeerde maatregelen is dat je medewerkers zich bewust zijn van de cybersecurity risico’s. Daarom besteden we ruim aandacht aan het verbeteren van het bewustzijn van de medewerkers door hen actief te betrekken tijdens de inrichting.

#5 Interne audit en directiebeoordeling

Als voorbereiding op de externe controle voeren we vanuit een onafhankelijke rol de interne audit uit. Zie het als een soort generale repetitie voor de externe controle. We beoordelen de volledigheid en kwaliteit van de documentatie en voeren een aantal interviews uit om de juiste werking van de opgestelde maatregelen vast te stellen.

#6 Type 1 controle

We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de maatregelen en/of het ISMS . De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.

#7 Opbouwen registraties

Bij een ISAE 3402 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.

#8 Type 2 controle

We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de maatregelen en/of het ISMS uitvoert. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.

#9 Onderhoud

Nadat je de verklaring hebt ontvangen, helpen we je bij het actueel houden van de maatregelen en/of het ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het uitvoeren van alle jaarlijkse verplichte onderdelen.

Download je persoonlijke ISAE 3402 checklist

Vul de complete en gedetailleerde lijst in met alle onderwerpen van de ISAE 3402. De ISAE 3402 checklist geeft een duidelijk overzicht en eerste stap richting je certificering. 

ISAE 3402 en/of ISO 27001? 

Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Er is een aantal overeenkomsten, maar vooral ook verschillen:

Overeenkomst:

  • In beide gevallen dient er een set aan beheersmaatregelen op het gebied van informatiebeveiliging geïmplementeerd wordt om risico's te verkleinen

Verschillen:

  • Om gecertificeerd te worden voor ISO 27001 moet het ISMS minimaal drie maanden in de praktijk werken. Voor een ISAE verklaring is dat zes maanden.
  • Een ISAE 3402 controle is intensiever dan een ISO 27001 audit en kost in de praktijk tot drie keer zo veel tijd als een ISO 27001 audit. Dat komt doordat een EDP-auditor uitvoerige controles uitvoert in de systemen en applicaties.
  • Bij een ISAE 3402 controle wordt vastgesteld of je in het verleden aan de eisen hebt voldaan. Terwijl bij een ISO 27001 audit meer aandacht uitgaat naar continue verbetering. De ISAE 3402 verklaring heeft betrekking op het afgelopen jaar, terwijl een ISO 27001 certificaat geldt voor de komende drie jaar.
  • Een ISO 27001 certificaat dien je te behalen voor de gehele organisatie (en dus alle klanten die je bedient) terwijl je een ISAE 3402 verklaring kan halen voor 1 klant.

ISAE 3402: BMGRIP als jouw vertrouwde partner

Wij zijn gespecialiseerd in het begeleiden van organisaties voor een ISAE 3402 verklaring

Direct hulp

Schakel binnen 24 uur met onze consultants.

Adres

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01

Privacy statement - Disclaimer - © 2024 BMGRIP