Assurance met certificering vergelijken is appels met peren vergelijken. Maar mocht je van fruit houden, hoef je niet per se te kiezen. Hoe zit dat? Daarvoor is het van belang eerst iets te weten van hun achtergrond.
Achtergrond
ISAE
De International Standard on Assurance Engagements (ISAE) richt zich op risico’s in het uitbesteden van processen. Middels een assuranceverklaring waarborgt een financiële instelling, beursgenoteerde organisatie en/of professioneel bedrijf dat deze uitbestede processen in control zijn. ISAE3402 kent zijn oorsprong dus in de financiële sector en wordt toegepast bij uitbesteding waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Indien dit niet het geval is, bijvoorbeeld wanneer enkel General IT Controls (continuïteit, beveiliging, capaciteitsplanning, beschikbaarheid en privacy) van toepassing zijn, kan een ISAE 3000 worden gebruikt.
ISO 27001
Toegenomen afhankelijkheid van IT en financiële informatie op het netwerk van leveranciers maakt dat aantoonbare beheersing van dergelijke General IT Controls toeneemt. De International Organization for Standardization (ISO) richt zich met de ISO 27001 op informatiebeveiligingsrisico’s van organisaties en waarborgt deze middels een managementsysteem (ISMS). Een certificaat toont aan dat aan de gestelde eisen wordt voldaan. ISO 27001 kent zijn oorsprong dus in de IT-sector.
Verschillen en overeenkomsten tussen ISAE en ISO 27001
Beide hebben beheersdoelstellingen/-maatregelen waarmee grip gecreëerd wordt op een duidelijk afgebakend (risico)gebied. Ook kennen beide normkaders het mechanisme van onafhankelijke toetsing door een externe partij, waarop door een aangestelde toezichthouder vervolgens weer wordt toegezien. Daar waar een ISO 27001-audit door een gekwalificeerde lead auditor (LA) wordt afgenomen, wordt de assuranceverklaring afgegeven door een geregistreerd accountant (RA) dan wel EDP-auditor (RE).
Zo’n accountantsverklaring kan altijd worden afgegeven, terwijl een ISO 27001-certificaat enkel kan worden verstrekt als aan de normvereisten is voldaan. Opgemerkt dat de bewijslast voor ISAE 3402/3000 groter is dan voor ISO 27001 gelet op de vereiste omvang van de steekproeven. De accountantsverklaring beslaat bij een Type II verklaring verder niet meer of minder dan een specifieke periode in het verleden (minimaal ½ jaar), terwijl het ISO 27001-certificaat na afgifte een geldigheid heeft van 3 jaar (met tussentijdse jaarlijkse controle-audits).
|
|
ISAE 3402/3000 |
ISO 27001 |
|
Uitgever |
IFAC/NBA |
NEN |
|
Focusgebied |
Uitbestede processen |
Informatiebeveiliging |
|
Doelgroep |
Serviceorganisaties die er garant willen staan voor aan hun uitbestede processen |
Organisaties die waardevolle informatie willen beschermen |
|
Toetsing / auditing |
RA/RE |
LA |
|
Resultaat |
Assuranceverklaring |
Certificaat |
|
Toezichthouder |
NBA / Norea |
RvA |
Synergie
Daar waar ISO 27001 zich richt op de informatiebeveiliging van een organisatie, ‘beperkt’ ISAE 3402/3000 zich tot uitbestede processen waarbij deze uiteraard ruimer (kunnen) zijn dan informatiebeveiligingsprocessen. Voor opdrachtnemers aan wie informatiebeveiligingsprocessen expliciet zijn uitbesteed of die diensten leveren waarin informatiebeveiliging essentieel is, geldt dat zowel ISAE 3402/3000 als ISO 27001 relevantie hebben.
Nu de IT- en financiële sector elkaar meer en meer ontmoeten, ontstaat de vraag welk van de twee de voorkeur geniet. Juist gelet op de verschillen in achtergrond, focusgebied en doelgroep, kunnen ze elkaar echter niet vervangen. Ze overlappen en hebben daarmee de potentie elkaar te kunnen versterken.
Zo levert een ISMS aantoonbare waarborgen voor informatiebeveiligingsprocessen die aan de assurance een bijdrage kan leveren. Door op slimme wijze om te gaan met de implementatie kan hier synergiewinst geboekt worden. Het zal ongetwijfeld leiden tot aanpassingen in de manier van omschrijven en tot meer bewijslast voor het informatiebeveiligingsdeel, maar daarmee kunnen beide normkaders elkaar maximaal versterken en beide doelgroepen bediend worden.
Strategisch voor beide kiezen, heeft als bijkomend voordeel dat bovendien geprofiteerd worden van de mogelijkheid om zogeheten extensies toe te voegen aan de ISO 27001. Waaronder de kersverse ISO 27701 waarmee (opdracht nemende) organisaties aan kunnen tonen dat ze voldoen aan de internationale eisen van privacy management.
Organisaties die diensten willen (blijven) verlenen waarin IT een cruciaal component is, doen er goed aan om synergie te halen uit de combinatie van ISAE 3402/3000 (uitbesteding) en ISO 27001 (informatiebeveiliging) al dan niet uitgebreid met ISO 27701 (privacy).
Uw eerste stappen zetten richting IT Management
Om uw eerste stap te zetten richting de sterke basis van ISAE en ISO 27001, kan allereerst ons ISO 27001 stappenplan een goed hulpmiddel zijn. Onze experts ontwikkelden dit praktische ISO 27001 stappenplan om u te helpen uw doel te bereiken. We geven niet alleen een uitleg en afbakening van de onderwerpen waar u mee te maken krijgt, maar doorlopen we ook de te nemen stappen om tot certificering te komen. Ook komen we graag met u in contact om uw vragen rondom ISAE te beantwoorden.
Download hier het ISO 27001 stappenplan.
Onderwerpen:
Alle onderwerpen Normkennis ISO 27001 informatiebeveiliging cybersecurity ISAE 3000 ISAE 3402
