wird überprüft von der Initiative-S

ISO 27001 is een security standaard, in deze standaard zijn richtlijnen (‘best practices’) opgenomen voor informatiebeveiliging van een organisatie. ISAE3402 is een audit standaard voor rapportage over uitbestede processen.

Verschillen & overeenkomsten

Aard van de data

Zodra data de basis vormt voor financiële processen, is ISAE 3402 de standaard. Je hebt meer zekerheden nodig als accountant om deze processen op integriteit te kunnen beoordelen. Data waar een accountant niks van hoeft te vinden in het kader van het jaarverslag, ligt ISO27001 meer voor de hand.

Certificaat vs Assurance rapportage

ISO27001 kent een certificaat dat aan een organisatie wordt uitgereikt na een geslaagde audit. ISAE3402 is een assurance rapportage en wordt over het algemeen gebruikt  bij ‘outsourcing’ voor financiële processen.

Scope vs systeem

ISO27001 noemt hetgeen waar men voor gecertificeerd wil worden de scope. Dit is een hoog niveau, vrij beknopte beschrijving die in 5 tot 10 zinnen moet worden weergegeven. ISAE3402 kent het systeem. Dit is een uitgebreide beschrijving van de dienst of service van de organisatie en gaat dieper dan de ISO27001 scope beschrijving. De scope van ISO27001 kan 1-op-1 overeenkomen met het systeem van ISAE3401 kunnen natuurlijk gelijk zijn.

Risico’s ISAE3402 versus ISO27001

Dit aspect is belangrijk voor beide. Bij ISO27001 is de risico analyse gericht op de data in de scope. Deze kennen bedreigingen en daar rolt middels impact x kans een risico uit. ISAE3402 kent beheersingsdoelstellingen die bereikt moeten worden voor een goed functionerend systeem. Deze doelstellingen kennen risico’s die er voor kunnen zorgen dat de doelstellingen niet of niet effectief bereikt worden.

Maatregelen ISAE3402 versus ISO27001

Zowel ISAE3402 en ISO27001 nemen vervolgens maatregelen om risico’s te adresseren. De maatregelen voor de ISO27001 certificering komen nagenoeg allen uit hetgeen wordt voorgeschreven in de ISO27002 norm. Voor ISAE3402 staat het de organisatie vrij om te besluiten welke maatregelen genomen dienen te worden. In de praktijk kunnen maatregelen  goed met elkaar overeenkomen omdat het om dezelfde risico’s gaat.

ISMS vs controle proces

ISO27001 kent een ISMS. Hierin worden controles gepland, mogelijke afwijkingen gesignaleerd, verholpen en indien mogelijk hetgeen dat fout is gegaan verbeterd. ISAE3402 kent een idem proces waar middels monitoring van de maatregelen gecontroleerd wordt of deze effectief zijn, mogelijke afwijkingen worden ontdekt waarop vervolgens actie kan worden ondernomen.

Kosten

De kosten voor een ISO27001 certificering zijn meestal ook lager dan de kosten van een ISAE3402-certificering. De belangrijkste reden hiervoor is een ISAE3402-type II een periode van minimaal zes maanden behelst.

Audits en bewijs

ISO27001 kent afhankelijk van de omvang van de organisatie in scope een aantal audit dagen per jaar. Hierin wordt bewijs door de auditor opgevraagd. Dit bewijs beperkt zich tot een beperkt aantal bewijsstukken per onderwerp. De tijd voor een ISAE3402 audit bedraagt, bij gelijkwaardige organisaties c.q. scope, meer dan voor een ISO27001 audit. Voor de ISAE3402-type2 audit wordt vaak een periode van 6 maanden genomen. Tijdens deze periode vinden er een aantal audits plaats. Vaak wordt middels een statistisch bepaalde steekproef bewijs verzameld. In de praktijk betekent dit dat een aanzienlijke hoeveelheid bewijs aan de auditor dient te worden overlegt.

Conclusie

Er zijn genoeg overeenkomsten tussen ISAE3402 versus ISO27001 die elkaar overlappen. Belangrijkste verschil zit hem in de klantvraag en kosten: wil de klant een onafhankelijk partij die verklaart dat het goed zit met informatiebeveiliging volgens marktstandaard of wil de klant extra zekerheid met meer bewijslast tegen een redelijke meerprijs. De overheid zich bijvoorbeeld op ISO27001, omdat dit aansluit bij de Baseline Informatiebeveiliging Rijksoverheid.  De zorg richt zich op de NEN7510 die gebaseerd is op de ISO27001. Vanuit de financiële wereld is daar en tegen ISAE3402 de norm.

 

Achtergrond: Wat is ISAE3402 en ISO27001?

ISAE 3402 is een assurance standaard. Dat wil zeggen er wordt een rapportage opgesteld waarmee een belanghebbende een redelijke mate van zekerheid kan verkrijgen over de uitvoering van een dienst of service. In ISAE3402 termen wordt de dienst of service het systeem genoemd. Het zijn veelal service organisaties die een dergelijke assurance rapportage beschikbaar stellen aan klanten om deze zekerheid te bieden dat de geleverde dienst voldoet aan bepaalde criteria. Dit wordt door de afnemende organisaties veelal gebruikt als onderdeel van de financiële verslaglegging. ISAE3402-Type 1 wil zeggen dat alleen op documentatie niveau een oordeel is gevormd door de auditor. Een ISAE3402-type 2 audit houdt in dat voor een periode van meestal 6 maanden de werking en effectiviteit van de maatregelen wordt getoetst.

ISO 27001 is een internationale norm gepubliceerd door de Internationale Standaardisatie Organisatie (ISO) en het beschrijft hoe informatiebeveiliging in een bedrijf kan worden beheerst. ISO 27001 kan in elke organisatie worden geïmplementeerd, profit of non-profit, privaat of in het bezit van de staat, klein of groot. Het is geschreven door ‘s werelds beste experts op het gebied van informatiebeveiliging en levert de methodologie voor de implementatie van informatiebeveiliging in een organisatie. Het stelt ook bedrijven in staat zich te certificeren, hetgeen betekent dat een onafhankelijke instantie dan bevestigt heeft dat de organisatie informatiebeveiliging heeft ingevoerd in lijn met de ISO 27001.ISO 27001 is de meest populaire informatiebeveiligingsnorm wereldwijd en veel bedrijven hebben zich ertegen gecertificeerd. De meest recente versie van deze norm werd gepubliceerd is ISO/IEC 27001:2013.

Leave a Reply