IT audits

ISAE 3000

De ISAE 3000 standaard

Een ISAE 3000-verklaring is een ‘in control statement’. Hierbij wordt getoetst of de samenwerkingspartner de interne processen (die voor uitbesteding van groot belang zijn) ook daadwerkelijk uitvoert. Deze processen en de controls heeft de organisatie beschreven en worden getoetst door de auditor. Het is belangrijk om goed te beschrijven om welke processen en informatiebehoefte het gaat. In tegenstelling tot de ISAE 3402 rapportage ligt bij ISAE 3000 de nadruk vooral op de niet financiële processen in een organisatie. Een ISAE 3000-verklaring is daarom vooral van toepassing als data worden bewerkt of gehost die geen direct effect hebben op uw jaarrekening.

Een ISAE 3000 biedt u zekerheid over de algemene proces- en bedrijfsvoering. Het geeft een waarborg dat de IT general controls met betrekking tot de processen die zijn uitbesteed, adequaat zijn ingericht. Hierbij wordt specifiek aandacht besteed aan de web trust principles ofwel inrichting op het gebied van beschikbaarheid, vertrouwelijkheid, veiligheid, integriteit en/of privacygevoeligheid van data en informatie. De ISAE 3000 is een internationale standaard. Een ISAE 3000-verklaring kan feitelijk voor iedere organisatie worden uitgevoerd.

Samenvattend is een ISAE 3000 de internationale standaard voor security en niet-financieel gerelateerde gegevens. Een ISAE 3402 wordt toegepast als er sprake is van outsourcing van financiële gegevens die worden verwerkt door de zogenaamde serviceorganisatie. Indien dit niet het geval is, dan kan een ISAE 3000 worden gebruikt, bijvoorbeeld voor een oordeel over de General IT Controls (GITC's), de informatiebeveiliging, de inrichting van een organisatie, een project, etc.

ISAE 3000 reikwijdte

De reikwijdte van een ISAE 3000 rapportage is zeer ruim en kan op ieder systeem, proces of organisatie worden afgegeven. Vaak zijn de ISAE 3000 rapportages gericht op: informatiebeveiliging, beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy.

Verschillende typen rapportages

ISAE 3000 TYPE I

In de ISAE 3000 type I rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De auditor toetst bij een ISAE 3000 type I audit of deze maatregelen toereikend zijn beschreven en ingericht (opzet en bestaan).

ISAE 3000 TYPE II

Bij een type II audit wordt ook de effectieve werking van beheersmaatregelen getoetst. Dat betekent dat niet alleen getoetst wordt of maatregelen aanwezig zijn, maar ook of gedurende een periode de maatregelen daadwerkelijk werken in de praktijk: zijn de doelstellingen behaald.

Onderwerpen van een audit op basis van ISAE 3000

Mogelijke items waarop de ISAE 3000 audit plaats kan vinden zijn:

  • beheer van bedrijfsmiddelen
  • beheer van communicatieprocessen,
  • beheer van informatiebeveiligingsincidenten
  • change management
  • service level management
  • continuïteitsbeheer
  • ontwikkeling en onderhoud van IT systemen en applicaties
  • (fysieke) toegangsbeveiliging

Deze onderdelen kunnen indien gewenst aangevuld worden met eigen geformuleerde maatregelen. Hierbij kunnen ook (onderdelen uit) control frameworks als ISO 27001 of COBIT worden gebruikt. In de ISAE 3000-standaard zijn geen specifieke voorschriften opgenomen voor de interne beheersing. Deze onderdelen zijn dan ook niet verplicht opgenomen in een ISAE 3000-rapportage. Uiteraard worden voor ISAE 3000-certificering wel vereisten gesteld aan de auditor, zoals ethische vereisten, kwaliteitseisen voor de uitvoering van de audit en formele procedures die gevolgd moeten worden. Onze IT- auditors hechten veel waarde aan het voldoen aan deze vereisten.

Voordelen ISAE 3000-verklaring

Door een ISAE 3000 verklaring kunt u zich positief onderscheiden in de markt. Het toont aan dat u organisatie grip heeft op de eigen processen en gegevens, maar ook op de processen en gegevens van uw klanten. Daarnaast wordt een ISAE 3000-certificering gezien als een continu streven naar verbetering en professionalisering van IT oplossingen en diensten.

Onze werkwijze

Onze gekwalificeerde IT-auditors voeren professioneel duidelijke en betaalbare audits gebaseerd op ISAE 3000 uit. Wij zijn aangesloten met de Nederlandse Orde van Register EDP-auditors (NOREA). Bij een ISAE 3000-traject denken wij graag met u mee over het normenkader (control framework), de set van beheersingsmaatregelen en de beheersingsdoelstellingen. Vervolgens beoordelen wij onafhankelijk of de beheersingsmaatregelen ook daadwerkelijk worden uitgevoerd zoals ze zijn beschreven.

Meer informatie over ISAE 3000?

Voor meer informatie over ISAE 3000 of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.