ISAE 3402 is de internationale standaard voor Assurance Opdrachten (ISAE), ook bekend als de International Standard on Assurance Engagements (ISAE) 3402. Het is een wereldwijd erkende norm ontwikkeld door de International Auditing and Assurance Standards Board (IAASB). ISAE 3402 biedt richtlijnen voor auditoren wanneer zij worden ingeschakeld om een assurance rapport uit te brengen over de beheersmaatregelen bij een serviceorganisatie.
Een ISAE-rapport wordt doorgaans verstrekt aan klanten van de serviceorganisatie om hen te helpen de interne beheersmaatregelen te begrijpen die relevant zijn voor hun uitbestede diensten en om het risico van deze diensten te beoordelen. Met andere woorden: het rapport geeft een hogere mate van zekerheid over de verstrekte diensten.
Er zijn twee soorten rapporten onder ISAE 3402:
Type I-rapport:
Dit rapport geeft een beoordeling van het ontwerp van de controles op een specifiek moment in de tijd.
Type II-rapport:
Dit rapport evalueert naast het ontwerp van de controles, ook de operationele effectiviteit over een bepaalde periode.
Vidar Security begeleidt jouw bij het succesvol voorbereiden op de ISAE 3402 audit. Met onze expertise kunnen we de organisatie helpen bij het identificeren en beheren van risico’s, het ontwerpen en implementeren van effectieve beveiligingscontroles, en het opstellen van noodzakelijke documentatie voor compliance. Door samen te werken met een ervaren consultant, kunnen serviceorganisaties vertrouwen opbouwen bij hun klanten en laten zien dat ze hun operationele processen serieus nemen en goed beheersen. In eerste instantie helpen we je met het Type I-rapport door te zorgen dat het ontwerp passend is voor de organisatie, haar doelen en van een hoog niveau. Daarnaast kunnen we je helpen met het Type II-rapport door te adviseren over het correct en volledig verzamelen van de noodzakelijke bewijsstukken, het opstellen van de noodzakelijke dossiers en door te fungeren als communicatiebrug tussen jouw organisatie en de externe auditoren.
De consultants van Vidar Security zijn niet alleen consultant maar ook auditoren die beschikken over (internationaal) erkende titels (zoals RE en CISA). Hiermee zijn zij als geen ander in staat om de brug te slaan tussen het auditwerkveld en de dagelijkse praktijk van jouw organisatie.
Een veel gestelde vraag is: wat is dan het verschil tussen de ISO27001 en ISAE3402? Met als uiteindelijke vraag: welke is dan beter voor mijn organisatie? In de onderstaande tabel is een heel kort (en niet volledig) overzicht gegeven van de verschillen.
ISAE3402 | ISO27001 | |
---|---|---|
Product | Assurance Rapportage | Certificaat |
Uitspraak over | Opzet, bestaan en werking (bij type II) over een specifieke periode in het verleden | Managementsysteem, voor een geldigheidsduur van 3 jaar |
Normenkader | Specifiek voor de organisatie | Standaardset (Annex A) |
Doelgroep | Specifieke stakeholder | Brede doelgroep |
Geldigheid in de toekomst | Nee | Ja |