30 september 2024

Wat is een ISAE 3402-verklaring?

In de groeiende markt van de (IT-)dienstverlening worden transparantie, betrouwbaarheid, informatiebeveiliging en privacy steeds belangrijker. Voor huidige en potentiële klanten zijn dit kernwaarden die een doorslaggevende factor zijn in het kiezen van een dienstverlener of softwarepakket. Om dit vertrouwen en inzicht aan klanten te geven, kan een ISAE 3402-verklaring van grote waarde zijn.  

Wat is ISAE 3402? 

ISAE 3402, ook wel SOC 1 genoemd, is een internationaal erkende standaard voor kwaliteit en beheersing rondom uitbestede (financiële) processen in de financiële dienstverlening. ISAE 3402 richt zich op de interne beheersing bij het verlenen van diensten aan andere organisaties. Onderdelen die hierbij aan bod kunnen komen zijn onder andere governance, incident management, risico management, logische toegangsbeveiliging, change management en operationeel beheer van netwerken en systemen. De dienstverlener die een ISAE 3402 rapport uitbrengt bepaalt wat de beheersdoelstellingen en maatregelen zijn die passen bij de dienstverlening en bepaalt daarmee zelf het normenkader. 

Een ISAE 3402-verklaring is er in een type 1 en een type 2 variant. Bij de type 1 variant worden de maatregelen in opzet en bestaan getoetst en wordt uitgegeven per een bepaalde toetsingsdatum. Bij een type 2 wordt een verklaring over een periode gegeven en wordt ook de werking van de maatregelen getoetst. Doorgaans beginnen dienstverleners met een type 1 verklaring om vervolgens een paar maanden daarna een type 2 verklaring uit te brengen. 

Wanneer heb ik een ISAE 3402-verklaring nodig? 

Het uitbesteden van processen komt steeds vaker voor. Denk hierbij aan onderdelen van ICT-beheer, de klantenservice of het uitbesteden van (kleinere) administratieve taken. De dienstverlening en verantwoordelijkheden komen dan bij derden te liggen. Kwaliteit en betrouwbaarheidseisen kunnen aan de voorkant worden afgedwongen middels overeenkomsten en contracten. Echter geeft dit geen zekerheid, want het is daarmee niet gezegd dat dienstverleners zich aan de afspraken houden of dat ze foutloos voldoen aan de eisen. Om zekerheid te krijgen over het niveau van de beheersing en betrouwbaarheid van de processen en de informatiebeveiliging kan aan de dienstverlener gevraagd worden een ISAE 3402-rapport uit te brengen over hun diensten.  

ISAE 3402, SOC 2 en ISO 27001 

ISAE 3402 en SOC 2 kennen overeenkomsten en verschillen. Een ISAE3402 is net als SOC 2 bedoeld om (potentiële) klanten van dienstverleners zekerheid te geven over de kwaliteit en beheersing van diensten. Beiden rapporten bevatten ook een uitgebreide beschrijving van de dienstverlening of het systeem waarover het rapport gaat. 

Bij SOC 2 toetst de auditor echter tegen een vast normenkader dat ingaat op (informatie)beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy, terwijl bij ISAE3402 gebruik wordt gemaakt van een normenkader dat specifiek is afgestemd op de dienstverlening in scope. Waar ISAE 3402 voornamelijk bedoeld is voor serviceorganisaties die financiële of overige processen overnemen, is dit voor SOC 2 specifiek IT-processen. Zie in deze recente blog meer informatie over SOC 2 of neem contact op met één van onze IT-auditors 

Ook ISO27001 kent een vast normenkader dat gaat over algemene informatiebeveiliging. ISO is echter een certificering in plaats van een verklaring en geeft geen zekerheid. Bij ISO wordt daarnaast getoetst op opzet en bestaan en nooit op werking. Doordat het normenkader bij ISAE 3402 niet vaststaat, is het bijvoorbeeld mogelijk de normen van ISO27001 te gebruiken in een ISAE 3402 rapport. 

Voordelen van ISAE 3402 

Met de ISAE 3402-verklaring toont de serviceorganisatie aan dat zij "In Control" zijn van de processen die zij leveren aan hun klanten. De verklaring kan aan bestaande en potentiële klanten worden verstrekt om zekerheid over hun processen aan te tonen. Een voordeel van de vrije invulling van het normenkader is dat de assuranceverklaring volledig kan aansluiten op de wensen en eisen van klanten en goed past bij de dienstverlening waarover het rapport gaat. 

Het bieden van een assuranceverklaring is geen verplichting, maar klanten hebben veel verwachtingen en eisen op het gebied van security, kwaliteit en compliance. Met een ISAE 3402 verklaring kan een dienstverlener de, vaak grote aantallen, vragen van klanten op dit gebied voor zijn en hen vertrouwen bieden in de dienstverlening. Dit zorgt voor een vlotter verkoopproces, betere samenwerking en meer vertrouwen vanuit uw klanten.  

 

Heeft u vragen of interesse in een ISAE 3402-audit? Neem gerust contact op met één van onze IT-auditors via het contactformulier op de website of bel naar 076-5019470 om direct in contact te komen.