ISAE 3000/ SOC 2: informatiebeveiliging bij uitbesteden van dienstverlening
Als je diensten uitbesteedt aan externe partijen, is het belangrijk dat alle informatie goed beveiligd is. Helaas heb je niet altijd direct inzicht in de processen en kun je niet direct invloed uitoefenen op de werkzaamheden. Een ISAE 3000-rapport kan inzicht en zekerheid bieden over de juistheid van de procesvoering.
Wat is ISAE 3000?
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. Dit is de leidraad voor het uitvoeren van de audit, bedoeld om aan te tonen dat je interne beheersprocessen daadwerkelijk worden uitgevoerd zoals beschreven. Alleen auditoren die zijn aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE-verklaring afgeven.
De onafhankelijke beoordeling van de auditor wordt verwerkt in een rapport. Dit rapport kan dienen als bewijsstuk voor de kwaliteit van de dienstverlening. Er wordt altijd een rapport afgegeven, ook als er afwijkingen zijn geconstateerd. Het is aan de lezer van het rapport om te beoordelen of de beheersmaatregelen voldoende worden uitgevoerd naar zijn of haar eigen maatstaf.
Een ISAE 3000-rapport kent twee typen: bij ISAE 3000 Type II is de audit veel uitgebreider dan bij Type I. Type I geeft een beeld van een specifiek moment en toetst de interne beheersingssystemen en maatregelen. Bij Type II wordt de werking van de maatregelen getoetst gedurende een vooraf aangegeven periode van minimaal zes maanden. Vaak kiest een organisatie voor een Type II-rapportage, tenzij er op korte termijn gerapporteerd moet worden of vanwege commerciële redenen.
ISAE 3000
Met een ISAE 3000-rapport toon je aan leveranciers dat ze kunnen vertrouwen op de informatiebeveiliging binnen je dienstverlening.
* ISAE 3402/ SOC 1 standaard: voor diensten met een financieel aspect.
ISAE 3000/ SOC 2 standaard: voor security en overige niet financiële informatie.
ISAE 3000 en SOC 2 zijn vergelijkbaar. Een rapport wordt in Europa ISAE 3000 genoemd en in de Verenigde Staten SOC 2.
Waarom ISAE 3000?
ISAE 3000/ SOC 2 is een internationaal erkende standaard voor informatiebeveiliging die zich specifiek richt op het outsourcen van dienstverlening. Met een ISAE 3000/ SOC 2-rapport kun je aantonen dat je je dienstverlening onder controle hebt en dat je de beheersmaatregelen naar behoren uitvoert. Door het verkregen inzicht in de risico's, maak je direct een professionaliseringsslag.
Voor wie is ISAE 3000?
Bij ISAE 3000/ SOC 2 worden twee soorten bedrijven onderscheiden: de gebruikersorganisatie (opdrachtgever van de serviceorganisatie) en de serviceorganisatie (de partij die uitbestede processen uitvoert). Om de gebruikersorganisatie gerust te stellen over voldoende beheersmaatregelen op het gebied van security, kan de serviceorganisatie ervoor kiezen een ISAE-audit uit te laten voeren.
Soms is een serviceorganisatie verplicht om verantwoording af te leggen, bijvoorbeeld aan het toezicht van De Nederlandsche Bank (DNB). Of het kiest vanuit commercieel oogpunt voor ISAE 3000, om daarmee processen beter te structureren.
De standaard is speciaal ontworpen voor het groeiende aantal technologiebedrijven dat cloudservices aanbiedt, werkplekbeheer verzorgt en webservers beheert. Een ISAE-rapport wordt door accountants van gebruikersorganisaties steeds vaker geëist, met name omdat organisaties steeds afhankelijker worden van technologie en het dus belangrijk is om informatieprocessen goed in te richten.
ISAE 3000 en ISO 27001
Ook ISO 27001 richt zich op informatiebeveiliging. Waar ISO 27001 meer een momentopname is, beschrijft ISAE 3000/ SOC 2 een hele periode. Door de toetsing van de effectieve werking van processen en de daarvoor te nemen steekproeven, is de audit intensiever en uitgebreider.
Sommige aspecten uit de ISO 27001-norm komen terug in de ISAE 3000-standaard. Je kunt een efficiëntieslag maken door de audits te combineren. Door ze gelijktijdig te laten uitvoeren, hoef je maar één keer zaken toe te lichten. Dat scheelt tijd. Je hebt bij TÜV NORD één aanspreekpunt, die de planning voor beide trajecten zal verzorgen. Gemakkelijk en efficiënt. Met onze brede en langdurige ervaring op het gebied van informatieprocessen kunnen wij je een gedegen rapport overhandigen.
Waarom ISAE 3000 bij TÜV NORD?
Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.
Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.
Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.
Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.
Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.
Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.
TÜV NORD denkt met je mee
Genoeg redenen om samen te werken met TÜV NORD. Maar het draait niet om ons. Het belangrijkste is wat het beste past bij jou, jouw organisatie en processen. Daarin denken we graag mee. We delen onze kennis en zijn flexibel in het bedenken van oplossingen.
Neem direct contact op met onze specialist via 0499 - 339 528 of vul het contactformulier in.