ISAE 3000

De ISAE 3000 standaard is generiek inzetbaar op een breed scala aan onderwerpen, zoals zekerheid over cloudhosting en gegevensverwerking. Voorbeelden van mogelijke doelen zijn:

1. Informatiebeveiligingsmanagementsystemen voor organisaties in de gezondheidszorg, industrie, bankwezen, overheid, etc.
2. Cloudhosting en verwerkingsfaciliteiten
3. Besturingssystemen en diverse soorten softwaretoepassingen betrokken bij de veilige omgang met informatie
4. IT-dienstverlening voor uw klanten
5. De beoordeling van ‘technische en organisatorische maatregelen’ uit de verwerkersovereenkomst met uw leverancie

Het geleverde Assurance Rapport kan u internationale erkenning bieden van de beveiligingsstatus van uw organisatie of ontwikkelde producten. Bovendien krijgt u een onafhankelijke gekwalificeerde mening van een expert die u helpt uw beveiligingsniveau in de organisatie, voor uw producten en/of uw diensten te verbeteren. Assurance Rapporten worden ondertekend door een gecertificeerde auditor (RE).

Afhankelijk van de diepgang van de beoordeling kunnen assurance rapporten worden verdeeld in:

• Type I: Een Type I Assurance Rapport biedt zekerheid over de algemene geschiktheid van het ontwerp (opzet) en aantoonbare uitvoering (bestaan) van beveiligingsmaatregelen volgens de geïdentificeerde criteria.
• Type II: Een Type II Assurance Rapport geeft een mening over het ontwerp (opzet) en aantoonbare uitvoering van maatregelen gedurende een bepaalde periode (werking).

ISAE 3402

De ISAE 3402 standaard is van toepassing op dienstverlenende organisaties die outsourcingdiensten leveren die invloed hebben op de financiële verslaggeving van hun klanten. Deze diensten kunnen onder andere gegevensverwerking, hostingdiensten, klantenondersteuning, personeelszaken en financiën en boekhouding omvatten.

Als uw bedrijf een dienstverlener is en uw diensten worden gebruikt door andere bedrijven (uw klanten) bij het opstellen van hun financiële overzichten, dan zal uw bedrijf waarschijnlijk een ISAE 3402 rapport moeten verstrekken.

Het rapport geeft uw klanten, en hun auditors, de zekerheid dat u adequate maatregelen heeft om de gegevens en systemen die zij aan u outsourcen te beschermen. Het geeft zekerheid dat uw bedrijf geen risico’s van materieel belang vormt voor hun financiële overzichten.

ISAE 3402 is in feite het internationale equivalent van het Amerikaanse SSAE 18 / SOC 1 rapportagekader. Het doel van deze rapporten is om zekerheid te bieden aan gebruikersentiteiten en hun auditors over de maatregelen bij een dienstverlenende organisatie die relevant zijn voor de interne controle over de financiële verslaggeving van een gebruikersentiteit.

ISAE 3402 maakt ook onderscheid tussen Type I en II en komt daarin overeen met ISAE 3000.