IT Algemene controle
IT Algemene controle
Meer organisaties besteden IT of andere processen uit. Deze uitbesteding brengt efficiëntie, maar ook risico’s met zich mee. Wordt de informatiebeveiliging goed beheerd? Hoe wordt er met privacy omgegaan? De ISAE 3402-standaard is de standaard voor betrouwbare uitbesteding en geeft antwoorden. Deze standaard zorgt ervoor dat aspecten zoals risicomanagement, informatiebeveiliging, privacy, antifraudemaatregelen en continuïteit worden gecontroleerd. Een ISAE 3402 | SOC 1-rapport beschrijft hoe risico’s worden beheerd. Een service-auditor controleert vervolgens of dit inderdaad gebeurt. Welke stappen moet je nemen om zo’n rapport te verkrijgen?
Ten eerste moet je het risicobeheer en de interne controlemaatregelen van de organisatie beschrijven in een rapport. Deze interne controlemaatregelen worden ook wel controles genoemd. Het rapport wordt een Service Organization Control Report (SOC) genoemd; een term uit de Verenigde Staten. Als het SOC-rapport betrekking heeft op uitbesteding van (financiële) processen, dan wordt dit rapport een SOC 1- of ISAE 3402-rapport genoemd. Als het rapport betrekking heeft op processen die geen invloed hebben op de jaarrekening (en gebaseerd zijn op bijvoorbeeld de Trust Service Principles), dan wordt het rapport een SOC 2– of ISAE 3000-rapport genoemd. Dit lijkt misschien ingewikkeld, maar je zou kunnen zeggen dat zodra je organisatie diensten levert die de jaarrekening van je klant ‘raken’, een SOC 1 van toepassing is, en als er geen gevolgen zijn voor de jaarrekening, dan is een SOC 2 van toepassing.
IT algemene controle
Er wordt geen financiële informatie verwerkt door de serviceorganisatie. Als het netwerk echter uitvalt, kan dit invloed hebben op de jaarrekening omdat het ERP-systeem op het netwerk draait. Daarom zijn IT General Controls (ITGC’s) belangrijk; de IT General Controls (ITGC) zijn de controlemaatregelen die een organisatie heeft geïmplementeerd om ervoor te zorgen dat de IT-systemen betrouwbaar en integraal zijn. Deze IT General Controls worden beschreven in het SOC 1-rapport (ISAE 3402) van de managed server provider. Daarnaast zijn een beschrijving van de organisatie en een beschrijving van risicomanagement opgenomen, zodat de klant deze controles vanuit het juiste perspectief kan bekijken.
ISO 9001 en ISO 27001
ISO 9001 en ISO 27001
Omdat organisaties ernaar streven om voortdurend te voldoen aan de eisen van klanten en aan wettelijke vereisten, is er een toenemende behoefte om meerdere ISO-certificeringen te behalen en te behouden. Een veelgebruikte combinatie die steeds populairder wordt, is ISO 9001 en ISO 27001.
De ISO 9001-norm specificeert de vereisten waaraan een organisatie moet voldoen om de aanwezigheid van een effectief kwaliteitsmanagementsysteem aan te tonen en consistent kwaliteitsgedreven producten en diensten te leveren die voldoen aan de eisen en voorschriften van klanten. Het behalen van een ISO 9001-certificering voor een organisatie betekent het succesvol aantonen van het robuuste kwaliteitsproces van de organisatie, waarbij rekening wordt gehouden met de bedrijfsprocesomgeving van producten/diensten, kwaliteitsgerichte klantgerichtheid, infrastructuur, ontwerp en ontwikkeling van producten en diensten, ontwerpinputs en -outputs en de manier waarop extern geleverde processen en diensten worden beheerd. Daarnaast is ISO 27001 de internationaal erkende norm die een organisatie begeleidt bij het implementeren en onderhouden van een effectief beheersysteem voor informatiebeveiliging. Met het behalen van de ISO 27001-certificering heeft een organisatie aangetoond dat zij in staat is om risico’s voor informatiebeveiliging effectief te beheren door middel van de implementatie van een beheersysteem voor informatiebeveiliging.
De Internationale Organisatie voor Standaardisatie (ISO) definieert een managementsysteem als “een systeem waarin een organisatie de onderling gerelateerde onderdelen van haar bedrijf beheert om haar doelstellingen te bereiken”.
De verschillen:
- Doelstelling: De verwachte kwaliteitsnormen binnen de organisatie handhaven
- Vereist geen Verklaring van Toepasselijkheid
- Doel: Vaststellen van eisen voor het opstellen, implementeren, onderhouden en continu verbeteren van ISMS
- Gebruikt controles van ISO 27002 om zijn ISMS te ondersteunen
Het is duidelijk dat er meer overeenkomsten zijn tussen de twee managementsystemen dan verschillen, en de verschillen die er zijn kunnen het andere managementsysteem ook ten goede komen en aanvullen. Daarom kan het behalen van deze dubbele certificering van ISO 9001 en ISO 27001 ongelooflijk voordelig zijn. Hiermee kan een organisatie tegelijkertijd aantonen dat ze in staat is om risico’s op het gebied van informatiebeveiliging te beheren en zich hiervoor in te zetten, terwijl tegelijkertijd hun inzet voor een optimale levering van hun kwaliteitsproducten en -diensten wordt gevalideerd.
5 voordelen van ISO 27001
5 voordelen van ISO 27001
ISO 27001 is de norm voor beheersystemen voor informatiebeveiliging. Het is de enige controleerbare internationale standaard hiervoor. ISO 27001 omvat beleid, praktijken, ontwikkelingen en systemen voor het beheren van informatierisico’s, zoals cyberaanvallen, datalekken, diefstal of datahacks. Maar wat zijn de voordelen voor uw organisatie?
1. Lager risico op boetes
De wereldwijde benchmark heeft de ISO 27001 standaard voor effectief beheer van informatiemiddelen geaccepteerd. Door te voldoen aan de vereisten voor gegevensbescherming verkleint de organisatie het risico op boetes. Potentiële financiële verliezen als gevolg van datalekken worden dus ook beperkt.
2. Bescherming van de reputatie
Het aantal cyberaanvallen neemt wereldwijd toe. Deze aanvallen kunnen een aanzienlijke impact hebben op een organisatie en haar reputatie. Aangezien ISO 27001 de organisatie beschermt tegen deze cyberaanvallen, beschermt het ook indirect de reputatie van de organisatie.
3. Voldoen aan verschillende wettelijke vereisten
De ISO 27001-certificering voldoet aan strenge wettelijke eisen, zoals de GDPR (General Data Protection Regulation), de NIS-richtlijn (Richtlijn voor de beveiliging van netwerk- en informatiesystemen) en andere wetten op het gebied van cyberbeveiliging.
4. Structuur en focus
Snelle groei binnen een organisatie kan snel leiden tot verwarring over de verantwoordelijkheid voor informatiemiddelen. ISO 27001 kan duidelijke verantwoordelijkheden voor informatierisico’s vaststellen.
5. De noodzaak voor frequente audits wordt verminderd.
ISO 27001 certificering is wereldwijd geaccepteerd en toont effectieve beveiliging aan, waardoor er minder behoefte is aan herhaalde audits bij klanten.