Categorie: Advisory

Voordelen van High Level Structure

Voordelen van High Level Structure

Er is vaak discussie over High Level Structure (HLS) in ISO-standaarden. Maar wat houdt dit in? Wat zijn de vereisten waaraan een bedrijf moet voldoen en wat zijn de voordelen van HLS voor ISO-normen?

De nieuwe ISO standaarden die we nu kennen zijn gebaseerd op de HLS structuur. HLS kan worden beschreven als een universele standaard voor managementsysteemstandaarden, die geïntegreerd bedrijfsbeheer mogelijk maakt. Voor elk bedrijf is informatiebeveiliging van cruciaal belang. De ISO 27001 standaard is een internationaal normenkader voor informatiebeveiliging. ISO 27001 kan gebruikt worden om de informatiebeveiliging in te richten. In 2017 werd de nieuwste ISO 27001-norm gepubliceerd. Deze norm is gebaseerd op de HLS structuur. HLS staat voor High Level Structure en verwijst naar het initiatief om een ‘structuur op hoofdlijnen’ te ontwikkelen voor managementsysteemstandaarden. De HLS-structuur is gebaseerd op het plug-in model. Dit plug-in model is ISO’s antwoord op vragen uit de markt om ervoor te zorgen dat managementsysteemnormen onderling verbonden en logisch aan elkaar gerelateerd zijn.

HLS

De nieuwe ISO normen zijn doormiddel van de High Level Structure een stuk gemakkelijker te integreren. Wat HLS ideaal maakt is dat er eenmalig een basissysteem moet komen en vanuit hier kunnen er verschillende normen aan worden “geplugd”. Er zijn verschillende eisen waaraan een organisatie moet voldoen voor de invoering van HLS.

  • Risicomanagement
  • Leiderschap
  • Compliance management (wat ook nodig is voor een ISO norm)
  • Aantoonbaarheid
  • Improvement management

Voordelen HLS in de organisatie

Zoals beschreven is door het HLS systeem het steeds makkelijker om verschillende ISO normen te implementeren binnen de organisatie. Dit zorgt er voor dat de normen voor managementsystemen op elkaar aansluiten en logisch gerelateerd zijn. Vanuit hier staan dan ook de behoeftes van de stakeholders centraal. HLS zorgt er voor dat het management van de organisatie een meer directe rol krijgen en dat het management meer wordt betrokken binnen het implementeren van het managementsysteem.

Securance biedt diensten aan op het gebied van governance, risk en compliance. Securance is marktleider in Nederland en de meest vooruitstrevende organisatie ten aanzien van ISAE 3402 implementatie en certificering. ij bieden naast ISAE 3402 diensten aan op het gebied van ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 en COSO ERM.

De juiste stappen voor het behalen van ISAE 3000 | SOC 2

De juiste stappen om
ISAE 3000 | SOC 2

Organisaties hebben meer last dan ooit van beveiligingsdreigingen. m je als organisatie te onderscheiden van de concurrentie is het nodig om te laten merken dat er wordt ingezet tegen deze dreigingen.

ISAE 3000 | SOC 2 is de toonaangevende standaard om het ontwerp en de operationele effectiviteit van uw beveiligings-, risico- en controlepraktijken aan te tonen. De standaard is een tool om organisaties in staat te stellen een controlesysteem te beheren wat is afgestemd op hun eigen huisstijl en cultuur. Echter wordt zorgt de standaard er ook voor dat processen van goede praktijken worden gevolgd. Het uiteindelijke doel is om een rapport op te stellen wat voor transparantie zorgt en voor een beveiligde organisatie. Het biedt een eenvoudig referentiepunt voor uw klanten om er zeker van te zijn en hun eigen naleving aan te tonen voor het gebruik van uw services.

Er zijn verschillende stappen om te komen bij het behalen van een ISAE 3000 | SOC 2 .

Contact een ISAE 3000 | SOC 2 Provider

Omdat binnen deze standaard veel wordt gepraat over gecompliceerde terminologieën kan het als organisatie verwarrend zijn om hier mee te werken. Het is vaak niet duidelijk welke norm het best bij de organisatie past en wat er daadwerkelijk voor nodig is om aan deze eisen te voldoen. Dit is de reden dat het tijdbesparend is om contact op te nemen met een aanbieder die de organisatie makkelijk hierin kan begeleiden.

ISAE 3000 | SOC 2 scope

Of de organisatie nu bezig is met een ISO 27001, ISAE 3402 | SOC 1 of ISAE 3000 | SOC 2 norm, het is belangrijk om te bepalen welke scope van toepassing is. it is namelijk waar de eindgebruiker (organisatie en de klant) zekerheid over zou willen hebben. Het gaat over de diensten, systemen en de criteria die van toepassing zijn. Zo komt het bijvoorbeeld voor dat organisaties verschillende soorten entiteiten en services hebben. Het is dan niet nodig om al deze services op te nemen als deze ook niet relevant zijn voor de vereisten van de eindgebruikers. Voor een ISO 27001 norm wordt alleen de beveiliging gerapporteerd terwijl bij een ISAE 3000 | SOC 2 ook wordt gekeken naar beschikbaarheid, vertrouwelijkheid, privacy en verwerkingsintegriteit.

Service auditor ISAE 3000 | SOC 2

Veel organisaties aarzelen toch vaak om een service auditor te benaderen. Dit komt omdat er vaak er vaak het idee is dat de organisatie het zelf kan aanpakken. Echter is het inschakelen van een veel meer belovend. Zoals beschreven zijn er veel gecompliceerde terminologieën en kan dit verwarrend zijn.

Securance biedt met de applicatie ControlReports de mogelijkhied aan organisaties om zelfstandig diverse governance, risk en compliance standaarden te implementeren binnen de organisatie. ControlReports is gebaseerd op de laatste best practises in de markt op het gebied van risico management en informatiebeveiliging.

Securance biedt diensten aan op het gebied van governance, risk en compliance. Securance is marktleider en meest vooruitstrevende organisatie ten aanzien van ISAE 3402 | SOC 1 implementatie en certificering.

Audit

In tegenstelling tot een fiscale of financiële audit, proberen ISAE 3000 | SOC 2- en ISO 27001-audits u niet te betrappen. De auditor is op zoek naar documentatie of ander bewijs om te bewijzen dat uw praktijken zijn wat u zegt dat ze zijn. Voor ISAE 3000 | SOC 2 Type 2 verifieert de auditor ook of u de praktijken daadwerkelijk toepast in overeenstemming met hoe u zegt dat u bent.

ISAE 3000 | SOC 2 systeembeschrijving

ISAE 3000 | SOC 2 is een assurance rapport en niet een certificering zoals de ISO 27001. Echter zien veel eindgebruikers dit als hetzelfde. Het belangrijkste verschil is dat ISAE 3000 | SOC 2 een systeembeschrijving vereist die doormiddel van een scope, een beschrijving van de relevante processen, bedrijfspraktijken, de controles en auditorvalidatieprocedures beschrijft.

ISAE 3402 | SOC 2 is minder prescriptief dan ISO 27001. Het omvat ook aanvullende controles van de gebruikersorganisatie en de subserviceorganisatie, zodat gebruikers kunnen begrijpen wat wel en niet wordt gedekt door het rapport met betrekking tot de eigen verantwoordelijkheden van de gebruikers en de belangrijkste leveranciers die worden gebruikt bij het leveren van de diensten.

Vermelden van het behalen van ISAE 3000 | SOC 2

Het is de verantwoordelijkheid van de organisatie om het behalen van de normen te vermelden. Dit kan veel voordelen met zich meebrengen en kan zorgen veel meer klanttevredenheid. Er zijn wel voorwaarden aan verbonden met het delen. Zo moet dit op een gepaste manier worden gedeeld en niet in onvolledige vorm en mag het niet misleidend zijn naar de eindgebruikers.

De ISO 9001 stakeholders

De ISO 9001 stakeholders

De eerste stap is het identificeren van de ISO 9001 belanghebbenden die in de norm worden genoemd. Dit verwijst naar mensen of organisaties die invloed uitoefenen op uw vermogen om producten en diensten te leveren die betrouwbaar de problemen en wettelijke kwesties van uw klanten aanpakken. het aanpakken van noodzakelijke kwesties. Maak een lijst van alles wat uw organisatie beïnvloedt, zoals klanten, overheidsorganisaties, niet-gouvernementele organisaties, vertegenwoordigers, aandeelhouders, leveranciers, enzovoort.

Wanneer u deze lijst hebt, een lijst van degenen waarvan u denkt dat ze uw vermogen om uw producten en diensten te leveren kunnen beïnvloeden, kunt u bepalen welke partijen volgens u het belangrijkst zijn voor uw bedrijf.

ISO 9001 implementeren kan een uitdaging zijn. De belangrijkste uitdagingen zijn beperkte tijd, budgetbeperkingen en ervaring met het implementeren van een professioneel kwaliteitsmanagementsysteem. Een kwaliteitsmanagementsysteem en certificering volgens ISO 9001 speelt een centrale rol in de werking van organisaties.

In de huidige markt neemt de noodzaak om ISO 9001 te behalen toe als gevolg van de hogere eisen van bedrijven en toezichthoudende instanties. De eisen en behoeften variëren van kwaliteitsmanagement(ISO 9001) tot informatiebeveiliging(ISO 27001 / ISAE 3000 | SOC 2) en zekerheid over uitbestede processen(ISAE 3402 | SOC 1).

Voorbeeld van ISO 9001 stakeholders

  • Klanten
  • Medewerkers in een organisatie
  • Banken
  • Vakbonden
  • Samenleving
  • Drukgroepen
  • Ondernemers
  • Leveranciers
  • Overheid
  • Partners
  • Concurrenten

SOC 2 vs. SOC 1 type 2

SOC 2 vs. SOC 1 type 2

Een ISAE 3000 | SOC 2-rapport en een ISAE 3402 | SOC 1 type 2-rapport zijn vergelijkbaar van opzet. Het grootste verschil ligt echter in de scope (het testkader).

Een ISAE type 2 rapport

Een ISAE 3402 | SOC 1-rapport is een assurantieverklaring die aan een organisatie wordt afgegeven. Een ISAE 3402 | SOC 1 type 2-rapport bespreekt hoe de serviceprovider risico’s beheert met betrekking tot uitbestede processen. Het beoordelingskader wordt gevormd door de uitbesteding zelf en de financiële processen (is er een relatie met de jaarrekening?). Het is vooral gebruikelijk in de financiële wereld om een ISAE 3402 | SOC 1-verklaring te kunnen aantonen. Een financiële instelling zal bijvoorbeeld altijd een ISAE 3402 | SOC 1-rapport van leveranciers vereisen voordat de leverancier de diensten mag leveren.

ISAE 3402 | SOC 1 is gebaseerd op de eis dat de doelstellingen moeten aansluiten bij de behoeften van de jaarrekening van de organisatie die de dienst afneemt. Met andere woorden: het controlekader (controle-doelstellingen en maatregelen) kan door ISAE zelf worden samengesteld. Het idee hierachter is dat de risico’s van uitbestedingsactiviteiten afhankelijk zijn van de situatie. De managementdoelstellingen en maatregelen die hierop gebaseerd zijn, zijn dus maatwerk.

Een ISAE 3000 | SOC 2 rapport

In een ISAE 3000 | SOC 2-rapport wordt het beoordelingskader niet gevormd door de uitbesteding zelf, maar door informatiebeveiliging. ISAE 3000 | SOC 2-rapporten richten zich daarom niet op financiële processen, maar op Trust Services Criteria zoals beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy in een serviceorganisatie. In een ISAE 3000 | SOC 2-rapport wordt de scope dus bepaald door deze vooraf gedefinieerde managementdoelstellingen (Trust Service Criteria).

ISAE 3000| SOC 2 gaat voornamelijk over de garantie dat de gegevens die worden verwerkt of gehost geen invloed hebben op de jaarrekening van klanten. Deze cliënten zijn vooral geïnteresseerd in de juiste omgang met informatiebeveiliging en privacy. Bijvoorbeeld, in een ISAE 3000 | SOC 2-rapport kan men denken aan het verkrijgen van zekerheid over externe gegevensverwerking en hosting.