Afgelopen week hadden we een gesprek met een organisatie die snel een ISO 27001 en ISAE 3402 verklaring wilde hebben. Maar zoals wel vaker, bleek dat er onduidelijkheid was over het verschil tussen die twee en wat zo’n verklaring eigenlijk precies inhoudt.

De behoefte aan ISO 27001 en ISAE 3402 verklaringen ontstaat meestal doordat klanten hierom vragen. Bedrijven moeten kunnen aantonen dat zij voldoen aan hetgeen is afgesproken. Dat is een direct gevolg van ketenintegratie, organisaties zijn steeds meer afhankelijk van elkaar. Een standaardvoorbeeld is natuurlijk het uitbesteden van ICT-processen: dit speelt al jaren bij datacenters en ICT-organisaties.

Even snel

Maar laten we eerst even terugkomen op de vraag “Kunnen we het even snel regelen?”. Dit antwoord kunnen we het snelst geven: nee. En wel om een eenvoudige reden. De meest logische volgorde is om eerst ISO 27001 te regelen. Hiervoor moet het proces duidelijk worden beschreven en, niet onbelangrijk, ook zo werken. Dat neemt al snel zo’n vier tot zes maanden in beslag. De volgende stap is pas de ISAE 3402 verklaring.

Wat houdt ISAE 3402 eigenlijk in?

ISAE 3402 is een normering voor de interne beheersingsmaatregelen van een organisatie die een service of dienst verleent aan een cliënt. Voor de cliënt is dit belangrijk voor de eigen interne beheersing. Een ISAE 3402 verklaring geeft een cliënt zekerheid dat de organisatie werkt zoals afgesproken.

Om het verhaal nog iets ingewikkelder te maken zijn er twee soorten ISAE 3402 verklaringen, namelijk type 1 en type 2:

  • Bij een ISAE 3402 type 1 verklaring wordt onderzocht of het beleid, de maatregelen en het proces zijn beschreven. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de werkelijke situatie. Dit sluit keurig aan op ISO27001, vandaar ook dat het handig is om eerst ISO 27001 op te pakken. Om eerlijk te zijn zegt type 1 niet zo veel meer dan een ISO 27001 certificaat. Sterker nog, een ISO-certificaat geeft meer zekerheid omdat hierbij ook interne audits worden uitgevoerd om te controleren of de maatregelen daadwerkelijk worden toegepast.
  • Bij een ISAE 3402 type 2 verklaring controleert de auditor ook de werking. Voor een type 2 verklaring wordt over een periode van minimaal zes maanden bewijslast verzameld over een proces of tool, met de daarbij behorende risico’s en beheersmaatregelen. De auditor kijkt daarbij naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.

Meer zekerheid

Een ISAE 3402 type 1 rapport is gericht op één meetmoment en dus een momentopname. Zo’n verklaring is dan ook beperkt bruikbaar, omdat niet wordt aangetoond dat de maatregelen succesvol zijn voor een langere periode. In een type 2 rapport verklaart de auditor dat de beschreven maatregelen over een periode van zes maanden hebben gewerkt. Een ander verschil tussen beide types is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.

Dat maakt de audit voor ISAE 3402 type 2 dan ook een stuk uitgebreider dan die voor type 1. Regelmatig voorkomende beheersmaatregelen worden meerdere malen op verschillende momenten op hun effectieve werking gecontroleerd. Om zeker van hun zaak te zijn, zullen cliënten dan ook altijd naar een type 2 verklaring vragen.

Terugkomend op de vraag

Een ISAE 3402 type 2 verklaring geeft zekerheid over de structurele uitvoering van maatregelen (werking), terwijl bij ISO 27001 de maatregelen beperkt worden getoetst (bestaan). Ons advies is dan ook om eerst te starten met het goed implementeren van de ISO maatregelen. Vervolgens kunnen we kijken naar de noodzaak van een ISAE 3402 verklaring. En dan voegt eigenlijk alleen een type 2 verklaring daar iets aan toe. Maar het moge duidelijk zijn, het is verstandig om daar wel de tijd voor te nemen!

Heeft u vragen over ISO, ISAE 3402, het in kaart brengen van datastromen, de impact of de invulling van ISO27001 of de rol van Functionaris Gegevensbescherming? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.