ISAE 3402
De internationale standaard voor uitbesteden van processen.
Zekerheid bij outsourcing
Besteedt u cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat er geen verstoring in deze processen optreedt. Immers dat kan belangrijke invloed hebben op de continuïteit van uw organisatie.
Om zeker te zijn dat de belangrijke aspecten zoals risico management, de interne beheersing of bijvoorbeeld data integriteit goed zijn geregeld, biedt een ISAE 3402 verklaring uitkomst. Het is de internationale assurance standaard voor zekerheid bij outsourcing.


Wat is ISAE 3402
De ISAE is niet zozeer een norm. Het is veel meer een controle systematiek en is vooral van belang als essentiële processen worden uitbesteedt. De eisen die de opdrachtgever stelt op het gebied van informatiebeveiliging bepaalt hoe het normenkader eruit moet zien. Vaak kiest men dan voor de eisen zoals die zijn opgenomen in de ISO 27001 norm of de eisen uit de Trust Service Principles. Eventueel aangevuld met nog enkele specifieke eisen van de opdrachtgever.
Een ISAE 3402 verklaring geeft aan of de organisatie in de praktijk ook daadwerkelijk werkt volgens de afgesproken normeisen. Daarmee kan je objectief aantonen dat de geïmplementeerde norm in de praktijk ook ‘effectief’ is.
ISAE 3402 Verklaring in heldere stappen

Nulmeting
Tijdens de nulmeting gaan we via documentatie onderzoek en enkele interviews na wat de status is van het huidige ISMS. We stellen een concreet projectplan op met daarin een heldere planning en rolverdeling. Zodat u als organisatie precies weet waar u aan toe bent.
Risicoanalyse
De ISAE 3402 is voor de inhoud vaak gebaseerd op het addendum van de ISO 27001 norm. Dit is een zogenoemde “risk-based” norm, waarbij de maatregelen afgestemd moeten zijn op de risico’s die u als organisatie loopt. Wij bepalen daartoe samen met uw medewerkers de kritische onderdelen van uw organisatie. Op basis van het verschil tussen uw risicoprofiel en uw risicobereidheid bepalen we samen met u een compacte set maatregelen.
Managementsysteem
Aan de hand van het projectplan wordt het ISMS ingericht. Daarbij besteden we aandacht aan de:
- Richting (beleid, risicoanalyse, besturing),
- Inrichting (ISMS documentatie, processen, procedures en specifieke maatregelen)
- Verrichting (bewustwording en competenties).
Bewustwording
Belangrijk voor het succes van uw ISMS is dat uw medewerkers zich bewust zijn van de cybersecurity risico’s. Daarom besteden we ruim aandacht aan het verbeteren van het bewustzijn van de medewerkers door hen actief te betrekken tijdens de inrichting. Ook begeleiden we interactieve workshops, waarbij we de gevolgen van informatiebeveiliging op de dagelijkse werkzaamheden bespreken aan de hand van praktische cases. Het resultaat is dat de bewustwording bij medewerkers toeneemt. Waardoor uw organisatie zich versterkt op het gebied van het omgaan met privacygevoelige- en vertrouwelijke informatie.
Interne audit en directiebeoordeling
Als voorbereiding op de externe controle voeren we vanuit een onafhankelijke rol de interne audit uit. Zie het als een soort generale repetitie voor de externe controle. We beoordelen de volledigheid en kwaliteit van de documentatie en voeren een aantal interviews uit om de juiste werking van uw ISMS vast te stellen. Ook ondersteunen we u bij het opstellen van de directiebeoordeling.
Type 1 controle
We begeleiden u tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van het ISMS. De bevindingen uit de beoordeling lossen we samen met u op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.
Opbouwen registraties
Bij een ISAE 3402 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen u bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen te weten controle op:
- logische toegangsrechten
- facilitaire procedures, clean desk, clear screen en bewustwording
- verkoop-, inkoop- en uitbestedingscontracten
- functiescheiding in primair proces
- HR dossiers
- ICT controle
- incident-, probleem- en wijzigingsbeheer
- BCMS
Type 2 controle
We ondersteunen u tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van het ISMS uitvoert. De bevindingen uit deze beoordeling lossen samen met uw medewerkers op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.
Onderhoud
Nadat u de verklaring heeft ontvangen helpen we u bij het actueel houden van uw ISMS volgens het Plan-Do-Check-Act principe. Daarbij ondersteunen we bij het uitvoeren van alle jaarlijkse verplichte onderdelen.
De ISAE 3402 Checklist
Inzicht in de maatregelen die u moet nemen
De complete en gedetailleerde lijst met alle onderwerpen van de ISAE 3402
Een duidelijk overzicht en eerste stap richting uw certificering
Gebruikers en leveranciers
Binnen ISAE 3402 maken we onderscheid tussen gebruikersorganisaties (iemand die wil inkopen bij een organisatie – de klanten) en serviceorganisaties (de leveranciers). Met een ISAE 3402 verklaring geeft een ‘serviceorganisatie’ aan de ‘gebruikersorganisatie‘ inzicht in ‘de getroffen maatregelen van de interne beheersing’. Zeg maar de kwaliteit van de interne organisatie. Dat is voor veel inkopende partijen belangrijk om te weten.


Systeembeschrijving en verklaring
Een ISAE 3402 bestaat uit een systeembeschrijving en een verklaring van de auditor. De systeembeschrijving is bijvoorbeeld gebaseerd op de ISO of NEN norm die beschrijft hoe u uw kwaliteit of informatiebeveiliging hebt georganiseerd. Vastgelegd in het managementsysteem.
De verklaring is het resultaat van het onderzoek door de auditor. Deze geeft objectief aan of u in de praktijk ook werkt volgens de afspraken in het managementsysteem.
Risico analyse
Belangrijk is dat de serviceorganisatie alleen die maatregelen benoemd en documenteert die van invloed zijn op – en daarmee belangrijk zijn voor – de processen en resultaten van de partij die de diensten afneemt.
Om dit vast te stellen voert de serviceorganisatie (de leverancier) een risicoanalyse uit. Vanuit de optiek van de gebruikersorganisatie (de afnemer) kijkt de leverancier naar zijn eigen proces om daarin de risico’s voor de afnemer te bepalen. Daarbij kijkt de leverancier naar zaken als:
- Welke risico’s loopt de gebruikersorganisatie door afname van de dienst waardoor de gebruikersorganisatie directe of indirecte financiële schade zou kunnen leiden?
- Wat kan er bij de serviceorganisatie misgaan of gebeuren waardoor de kwaliteit van de dienstverlening wordt verstoord?
De resultaten van de risicoanalyse bepalen welke ‘beheersdoelstellingen en -maatregelen opgenomen’ de serviceorganisatie moet nemen om te zorgen dat ze levert en werkt conform de gestelde doelen en afspraken. De manier van analyseren en het resultaat daarvan wordt voorgelegd aan de auditor.

Type 1 en Type 2 verklaring
Een type I en type II verhouden zich als de foto (momentopname) en de film (waarnemingen over een langere periode). Indien de rapportage ten behoeve van de jaarrekeningcontroles van gebruikersorganisaties wordt opgesteld, wordt er jaarlijks een nieuw type II-rapport opgesteld.
Het onderzoek van de auditor stelt eisen aan de manier waarop de serviceorganisatie:
- de opzet van de maatregelen documenteert,
- de maatregelen aantoonbaar uitvoert en
- toezicht houdt op de naleving van de uitvoering.
Type 1 verklaring
Bij een type I beoordeelt de auditor de opzet en het bestaan van de beheersmaatregelen (‘design effectiveness’). M.a.w. is er een goed en volledig managementsysteem?
Type 2 verklaring
Bij een type II beoordeelt de auditor de werking van de beheersmaatregelen over een periode van minimaal 6 maanden (‘operational effectiveness’). Werkt het managementsysteem in de praktijk ook zoals bedoeld?

ISAE 3402 en/of ISO 27001?
Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Immers beide normen vereisen een Informatie Security Management Systeem (ISMS). Er is een aantal overeenkomsten maar vooral ook verschillen:
Overeenkomst:
- Je dient voor beiden een ISMS in te richten en te onderhouden.
Verschillen:
- Om gecertificeerd te worden voor ISO 27001 moet het ISMS minimaal drie maanden in de praktijk werken. Voor een ISAE verklaring is dat zes maanden.
- Een ISAE 3402 controle is intensiever dan een ISO 27001 audit en kost in de praktijk tot drie keer zo veel tijd als een ISO 27001 audit. Dat komt omdat een EDP-auditor uitvoerige controles uitvoert in de systemen en applicaties.
- Bij een ISAE 3402 controle wordt vastgesteld of je in het verleden aan de eisen hebt voldaan. Terwijl bij een ISO 27001 audit meer aandacht uitgaat naar continue verbetering. De ISAE 3402 verklaring heeft betrekking op het afgelopen jaar, terwijl een ISO 27001 certificaat geldt voor de komende drie jaar.
- Een ISO 27001 certificaat dien je te behalen voor de gehele organisatie (en dus alle klanten die je bedient) terwijl je een ISAE 3402 verklaring kan halen voor 1 klant.
Waarom een ISAE 3402 verklaring?
Besteedt u cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat deze partij uw producten en diensten leveren conform de gemaakte afspraken. Immers dat kan belangrijke invloed hebben op de continuïteit van uw organisatie.
Om zeker te zijn dat de belangrijke aspecten zoals risicomanagement, de interne beheersing of bijvoorbeeld data integriteit goed zijn geregeld, biedt een ISAE 3402 verklaring uitkomst. Het is de internationale assurance standaard voor zekerheid bij outsourcing.
De ISAE 3402 is het meest gebruikt binnen de informatiebeveiliging. Een goede beschikbaarheid, integriteit en vertrouwelijkheid van informatie is bij uitstek van groot belang voor de continuïteit. En daarmee de kwaliteit van de leverancier.

Een ISAE 3402 verklaring is van grote waarde
Voordelen op een rij

Alles van de ISAE 3402 op een rij
De ISAE3402 verklaring is gericht op serviceorganisaties die hun informatiebeveiliging aantoonbaar op orde willen hebben en continu willen verbeteren.
Stelt dat ook aantoonbaar aan de AVG wet- en regelgeving moet worden voldaan.
Vraagt naar een balans tussen beschikbaarheid, integriteit en vertrouwelijkheid van (privacy) van (persoons)gegevens.
Eist een informatiebeveiligings- en privacybeleid
Eist bewustwording bij medewerkers
Eist beheersing van ICT-systemen en applicaties (logische beveiliging)
Eist beheersing van fysieke locaties en apparatuur (fysieke beveiliging)
Eist beveiligingsmaatregelen afgestemd op de vastgestelde risico’s in de organisatie.
Eist periodieke monitoring, meting, controles en audits op de werking en prestaties.
Vastgelegd in het Information Security Management Systeem
Het Information Security Management Systeem (ISMS) is uw structuur en methodiek waarin u alles vastlegt dat u nodig heeft om uw informatie op een goede en veilige wijze te organiseren.
De basis van het ISMS is vergelijkbaar met de managementsystemen voor de andere ISO en NEN normen. Wat de basiselementen zijn leest u op onze speciale pagina over managementsystemen. Daar leest u ook wat erbij komt kijken om een ISMS te implementeren en te onderhouden.
MEER WETEN OVER DE ISAE 3402?
Bel ons of laat uw gegevens achter dan bellen we u.