ISAE 3402

Met een ISAE 3402 of 3000 assurance verklaring maakt u inzichtelijk dat u voldoende beheersing hebt ingericht in relatie tot uw IT-security en -privacy maatregelen.

U bent hier

  • De norm voor serviceorganisaties gericht op informatiebeveiliging bij outsourcing

    Met een ISAE 3402 of 3000 assurance verklaring maakt u inzichtelijk dat u voldoende beheersing hebt ingericht in relatie tot uw IT-security en -privacy maatregelen. Door toenemende concurrentie, kostenbesparingen en technologische ontwikkelingen besteden steeds meer organisaties belangrijke en cruciale processen uit aan serviceorganisaties. Maar hoe toont u als serviceorganisatie aan dat gegevens van de klant veilig zijn bij u?

    Wat is ISAE 3402 / 3000?

    ISAE 3402 / 3000 is een norm die staat voor International Standard on Assurance Engagements. Uit een ISAE audit volgt een assurance verklaring waarin risicomanagement van de beheersbare processen is opgenomen. Het uiteindelijke rapport toont aan dat de organisatie de betreffende processen naar behoren heeft ingericht in opzet, bestaan en werking. Hiermee borgt u de informatiebeveiliging.

  • DEKRA helpt u op weg

    icoon veilige informatie

    Veilige informatie

    Laat zien aan uw klanten dat u veilig met informatie omgaat. U toont hiermee aan dat klanten uw organisatie kunnen vertrouwen.

    icoon ervaring

    Uitgebreide ervaring

    DEKRA heeft al honderden organisaties getoetst tegen de normen voor informatiebeveiliging

    icoon communicatie

    Korte communicatielijnen

    Korte lijnen met DEKRA’s accountmanagers en auditors. Zij staan altijd klaar om met u te bepalen wat de beste route voor uw organisatie is.

  • Wanneer heeft u een ISAE verklaring nodig?

    U gebruikt de ISAE 3402 verklaring als uw dienstverlening effect heeft op de financiële verwerking van uw klant. Uw dienstverlening is bijvoorbeeld onderdeel van de factuurverwerking bij uw klant. Daarnaast bestaat er ook de ISAE 3000 verklaring. Deze verklaring heeft betrekking op de beheersing van security- en privacymaatregelen (en daarbij nadrukkelijk geen financieel component heeft).

    ISAE 3402 of ISAE 3000 en ISO 27001

    Een ISAE assurance beoordeling en de audits in het kader van het ISO 27001 certificaat zijn goed te combineren. Het geeft uw opdrachtgever meer zekerheid over de totale dienstverlening. Dit omdat de auditor of accountant van uw klant het ISAE 3402 rapport gebruikt voor haar eigen assurance verklaring. Uw klant kan ‘steunen’ op de diensten die u levert. DEKRA biedt de unieke mogelijkheid om de beoordeling ISAE 3402 en audits ISO 27001 gecombineerd uit te voeren. Vooraf wordt dan besproken welke bevindingen vanuit de ISO 27001 audit betrekking hebben op de ISAE 3402 beoordeling. Hiermee wordt voorkomen dat er maatregelen (onnodig) extra beoordeeld worden.

    ISAE 3402 rapportage en verklaring

    Een ISAE 3402 audit wordt uitgevoerd door onze RE-auditoren (register EDP-auditoren). DEKRA stelt vervolgens naar aanleiding van de bevindingen de volledige rapportage op. Op het moment dat voldaan wordt aan het vooraf afgestemde kader geeft DEKRA de officiële ISAE 3402 verklaring af.

    Rapportage
    De ISAE rapportage bestaat minimaal uit de volgende onderdelen:

    • Beschrijving van het control raamwerk;
    • Bevestiging van de serviceorganisatie;
    • Service auditor assurance rapport.

    Verklaring
    Tijdens de uitvoering van een audit controleert het auditteam van DEKRA of alle maatregelen die binnen het afgesproken kader vallen ook daadwerkelijk worden nageleefd (in opzet, bestaan en werking). Na de uitvoering van een audit wordt de rapportage voorzien van de zogeheten ‘assurance’ verklaring volgens standaard ISAE 3402.

    Onderzoek
    Het onderzoek voor een ISAE-verklaring kan op twee wijzen worden uitgevoerd, namelijk als ‘Attestation’ of als ‘Direct Reporting’. Bij een ‘attestation’ heeft u een interne auditor die het onderzoek voorbereid, uitvoert en aanlevert. Voor deze 'attestation' kan juist gebruik gemaakt worden van het managementsysteem conform ISO 27001. DEKRA voert reperformance uit over het onderzoek van de interne auditor. Bij ‘direct reporting’ voert DEKRA het hele onderzoek uit.

    De voordelen van ISAE 3402

    • ​Een ISAE 3402 audit geeft u en uw klanten inzicht in IT-processen rondom interne beheersing, risicomanagement, informatiebeveiliging en privacy;
    • Met een ISAE 3402 verklaring bent u aantoonbaar in staat om in te spelen op beheersbare processen en het nemen van de juiste maatregelen naar aanleiding van waardevolle informatie;
    • Met de assurance verklaring voldoet u aan de eisen zoals gesteld in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD). In deze wetten zijn financiële verplichtingen vastgelegd ten aanzien van uitbesteding van werkzaamheden.

    Waarom ISAE bij DEKRA?

    • De kennis van DEKRA is up-to-date, waardoor uw rapportage voldoet aan de meest recente verplichtingen;
    • U heeft één aanspreekpunt voor alle audits rondom ISAE 3402 en ISO 27001 audits
    • Onze ervaren RE-auditoren die de beoordeling uitvoeren zijn aangesloten bij de Nederlandse beroepsorganisatie NOREA.;
    • Tijd- en kostenbesparing doordat DEKRA de audit voor ISO 27001 en beoordeling ISAE 3402 kan combineren;
    • DEKRA verstrekt de ISAE 3402 verklaring.
  • Customer Case

    Alloq: VI Company

    alloq

  • Neem gerust contact op:

Henry Dwars
Contactpersoon

Henry Dwars

Sales- & Accountmanager Informatiebeveiliging
Telefoon
+31 88 96 83458