Fördelar: förbättrad riskhantering

och transparens

Organisationer får ofta frågor om säkerhetsstandarder från (potentiella) kunder; vilka är skillnaderna mellan en ISAE 3402 | SOC 1, ISAE 3000 | SOC 2 och en ISO 27001-revision? Vilken standard är mest tillämplig för vår verksamhet, ISAE eller ISO 27001? Vilka är för- och nackdelarna med ISAE jämfört med ISO 27001? ISAE 3402 och ISO 27001 är fundamentalt olika typer av standarder med lika olikartad användning. De största skillnaderna ligger i rapporteringsformatet och den genomförda revisionen.

Konkreta fördelar

• Riskinformation
• Marknadens förtroende
• Effektivitet i revisionen
• Förbättrad kontroll

ISAE och säkerhet

ISAE 3402 är ett intyg från en oberoende revisor som jämför information om system- och organisationskontroller (SOC) med revisionsmål eller kriterier. I en ISAE 3402 (SOC1)-rapport ingår allmänna IT-kontroller (ITGC) och därmed säkerhet, men den primära omfattningen är finansiella förfaranden och kontroller. En ISAE 3000 (SOC2)-rapport fokuserar på Trust Service Criteria, inklusive säkerhet, tillgänglighet och integritet, och har mer överlappning med ISO 27001. En viktig skillnad är att ISAE 3402 och ISAE 3000-rapporter (SOC 2) ger en assurance-bedömning, medan ISO 27001 är en certifiering.

ISO 27001

ISO 27001 är en riskbaserad standard för att etablera, implementera och förbättra ledningssystemet för informationssäkerhet (ISMS) i en organisation. Detta standardiserade säkerhetsramverk upprätthålls av ISO och IEC. Det implementerade ISO 27001-ramverket är certifierat av oberoende certifieringsorgan. Organisationen måste ha de rutiner och kontroller som beskrivs i High Level Structure (HLS) och Annex A i ISO 27001-ramverket. Det resulterande säkerhetsramverket minskar riskerna genom implementering av rutiner och kontroller. ISO 27001 är ett omfattande system för att säkerställa informationssäkerhet, och alla organisationer som har implementerat ISO 27001 måste ha minst ett ledningssystem för informationssäkerhet.

ISO 27001 eller ISAE 3402?

Världen har förändrats. ISO 27001 var tidigare riktmärket för informationssäkerhet, men med informationssäkerhetsrisker som ständigt utvecklas kräver många organisationer större säkerhet om informationssäkerhet. ISO 27001 är en föreskriven uppsättning kontroller, medan ISAE 3402 och 3000-standarderna bygger på principer. Detta innebär att kontrollerna inte kan implementeras formellt, men att de fungerar effektivt. Om så är fallet kommer revisorn att göra ett uttalande med reservation i ISAE 3402. En ISAE 3402/3000-revision är en fördjupad revision som fokuserar på riskramverkets effektivitet när det gäller att kontrollera risker. Om riskerna inte kontrolleras på ett effektivt sätt kommer detta att redovisas i ISAE 3402-rapporten. Denna nivå av transparens krävs i den globala ekonomin och den ständigt föränderliga hotbilden.