Onze diensten

Do’s en don’ts in een ISAE traject

Auteur: Lisa Houwer
Datum: 20-06-2022

Krijg jij van klanten de vraag om aan te tonen dat uitbestede processen in goede handen zijn? Dan geef je wellicht als antwoord dat afspraken zijn vastgelegd in een Service Level Agreement (SLA) en dat je rapporteert over de prestaties. Echter, deze manier van borging geeft niet altijd voldoende zekerheid over de kwaliteit en informatiebeveiliging van het uitbestede proces. Een ISAE verklaring kan dan een uitkomst bieden. Kennisexpert en Information Security Consultant Lisa vertelt je graag meer over het ISAE traject.

Wat is ISAE?

ISAE staat voor International Standard for Assurance Engagements. Het is een onafhankelijke assurance verklaring waarmee een organisatie aantoont dat uitbestede processen ‘in control’ zijn. Hierbij wordt getoetst of de samenwerkingspartner de interne processen ook daadwerkelijk uitvoert zoals deze zijn beschreven. Er zijn in Nederland twee veelgevraagde ISAE verklaringen: 

  • ISAE 3402: Assurance over bedrijfsprocessen die met de verwerking van financiële transities te maken hebben.
  • ISAE 3000: Assurance over bedrijfsprocessen die met de opslag en verwerking van data te maken hebben.

Een ISAE verklaring wordt afgegeven door een register auditor (RE) of een register accountant (RA). Voor zowel ISAE 3402 als ISAE 3000 geldt dat een verklaring kan worden afgegeven voor één van de volgende typen:

  • Type I: Deze verklaring gaat om een specifiek moment, waarbij assurance over de opzet en het bestaan wordt gegeven. Daarbij wordt ook onderzoek gedaan naar het beleid en de procedures. De navolging hiervan wordt éénmalig vastgesteld.
  • Type II: Deze verklaring bestrijkt een voorafgaande periode waarbij assurance over de opzet, het bestaan en de werking wordt gegeven. Er wordt wederom onderzoek gedaan naar beleid en procedures. Het verschil met type I is dat de navolging op meerdere momenten in de tijd gedurende de verslagperiode wordt vastgesteld. Meestal gebeurt dit voor een periode van 6 of 12 maanden.

Do’s en don’ts in een ISAE traject

Een ISAE traject start bijna altijd vanuit een eis van een potentiële nieuwe klant, in bijvoorbeeld een RFP, offerte of aanbesteding. De meest gevraagde ISAE verklaring is type II. Om jouw organisatie alvast op weg te helpen bij het ISAE traject deel ik graag een aantal do’s en don’ts. Een goede begin is ten slotte het halve werk.  

Drie do’s in een ISAE traject:

  • Bepaal de scope en denk vanuit de klant
    Zorg dat je de scope snel duidelijk hebt en denk daarbij vanuit de klant. Stel jezelf bijvoorbeeld de vraag: waar zou de klant assurance over willen hebben? De Service Level Agreement (SLA) van jouw klant kan je daarbij als inspiratie gebruiken. Vaak stem je de scope af in samenwerking met de eisende partij.

  • Kies een passend Framework of Controls
    Kies een passend Framework of Controls. ISAE kent een vormvrij framework, dit betekent dat een organisatie haar eigen Framework of Controls kan kiezen. Het kan echter voorkomen dat de eisende partij een bepaald framework eist. Voorbeelden van frameworks zijn: het normenkader van NOREA, de Trusted Service Criteria (SOC 2) of een framework gebaseerd op de beheersmaatregelen van Annex A uit de ISO 27001 norm. Bespreek het gekozen framework met de eisende partij en de certificerende instelling.

  • Zorg voor een goede borging 
    Zorg voor een goede borging van het ISAE traject. Leg een duidelijke planning vast en maak afspraken over de het opslaan en bewerken van project documentatie. Bepaal vooraf hoe de organisatie aan alle beheersmaatregelen bewijslast gaat ophangen. Dit kan je bijvoorbeeld borgen in MS Teams. Dit is aan de start van het traject vaak veel werk maar helpt enorm in het verdere proces 

Drie don’ts in een ISAE traject:

  • Stel geen onhaalbare beheersmaatregelen op
    Niets zo vervelend als beheersmaatregelen die onrealistisch en niet haalbaar zijn. Wees kritisch op de beheersmaatregelen in scope. Mijn tip is om deze zo SMART mogelijk te maken. SMART staat voor specifiek, meetbaar, acceptabel, realistisch en tijdgebonden.

  • Begin niet te laat met het verzamelen van bewijslast
    Begin op tijd met het verzamelen van bewijslast. Uit ervaring weet ik, dat er uit de audit vaak nog additionele vragen voor extra bewijslast komen. Wanneer je tijdig begint met het verzamelen van bewijslast, verklein je de kans dat er informatie ontbreekt.

  • Doe een ISAE traject niet alleen 
    Pak een ISAE traject niet in je eentje op. Sparren en zaken vanuit verschillende perspectieven bekijken is essentieel voor een succesvolle implementatie. Daarnaast gaat het verbeteren van de tekortkomingen en het aanleveren van bewijslast sneller in een team.

Als laatste tip wil ik meegeven dat toegangsbeheer altijd een belangrijke beheersmaatregel is voor de klant. Neem de beheersmaatregelen over dit onderwerp altijd mee in het framework.

Hulp nodig?

Kan jouw organisatie hulp gebruiken in het ISAE traject? Mijn collega’s en ik helpen je graag verder! Neem vrijblijvend contact met ons op voor meer informatie. 

Contact

Informatiebeveiliging assurance