Voordelen: beter risicobeheer en transparantie
Organisaties krijgen vaak vragen van (potentiële) klanten over beveiligingsstandaarden; wat zijn de verschillen tussen een ISAE 3402 | SOC1, ISAE 3000 | SOC2 en een ISO 27001 audit? Welke norm is meer van toepassing op ons bedrijf, ISAE of ISO 27001? Wat zijn de voor- en nadelen van ISAE versus ISO 27001? ISAE 3402 en ISO 27001 zijn fundamenteel verschillende soorten standaarden met een even dissonant gebruik. De belangrijkste verschillen zitten in het rapportageformaat en de uitgevoerde audit.
Tastbare voordelen
- Risico-informatie
- Marktvertrouwen
- Efficiëntie audit
- Verbeterde controle
ISAE en beveiliging
ISAE 3402 is een verklaring van een onafhankelijke auditor waarin informatie over systeem- en organisatiecontroles (SOC) wordt vergeleken met auditdoelstellingen of -criteria. In een ISAE 3402 (SOC1)-rapport worden algemene IT-controles (ITGC’s) en dus beveiliging opgenomen, maar de primaire scope is financiële procedures en controles. Een ISAE 3000 (SOC2) rapport richt zich op de Trust Service Criteria, inclusief beveiliging, beschikbaarheid en privacy, en heeft meer overlap met ISO 27001. Een belangrijk onderscheid is dat ISAE 3402 en ISAE 3000 (SOC 2) rapporten geven een betrouwbaarheidsverklaring, terwijl ISO 27001 een certificering is.
ISO 27001
ISO 27001 is een op risico’s gebaseerde norm voor het opzetten, implementeren en verbeteren van het beheersysteem voor informatiebeveiliging (ISMS) van een organisatie. Dit standaard beveiligingsraamwerk wordt onderhouden door ISO en IEC. Het geïmplementeerde ISO 27001 raamwerk is gecertificeerd door onafhankelijke certificeringsinstanties. De organisatie moet beschikken over de procedures en controles die zijn beschreven in de High Level Structure (HLS) en Bijlage A van het ISO 27001-raamwerk. Het resulterende beveiligingsraamwerk beperkt risico’s door de implementatie van procedures en controles. ISO 27001 is een uitgebreid systeem voor het waarborgen van informatiebeveiliging en alle organisaties die ISO 27001 hebben geïmplementeerd, moeten ten minste een beheersysteem voor informatiebeveiliging hebben.
ISO 27001 of ISAE 3402?
De wereld is veranderd. ISO 27001 was vroeger de maatstaf voor informatiebeveiliging, maar nu de risico’s voor informatiebeveiliging voortdurend veranderen, hebben veel organisaties behoefte aan meer zekerheid over informatiebeveiliging. ISO 27001 is een voorgeschreven set van controles, terwijl ISAE 3402 en 3000 standaarden gebaseerd zijn op principes. Dit betekent dat de controles niet formeel kunnen worden geïmplementeerd, maar wel effectief werken. Als dat het geval is, zal een auditor het ISAE 3402 assurance-oordeel van een voorbehoud voorzien. Een ISAE 3402/3000 audit is een diepgaande audit gericht op de effectiviteit van het risicoraamwerk in het beheersen van risico’s. Als risico’s niet effectief worden beheerst, wordt dit vermeld in het ISAE 3402-rapport. Deze mate van transparantie is vereist in de wereldeconomie en het voortdurend veranderende bedreigingslandschap.