ISAE 3402 eller ISAE 3000 eller ISO 27001
Det råder ofta förvirring kring ISAE 3402, ISAE 3000 och ISO 27001. Många kunder frågar vilken standard som är bäst och vilka fördelarna är. Detta varierar mellan olika organisationer, och i denna artikel förklaras standarderna och deras fördelar.
ISAE 3402
Standarden ISAE 3402 avser rapporteringsstandarder för interna kontroller avseende finansiell rapportering. Detta innebär att denna standard bedömer effektiviteten i systemen för att stödja säkerheten och integriteten för de underliggande uppgifterna. ISAE 3402 är lämplig för tjänster med affärsprocessmål som sträcker sig bortom enbart teknik och säkerhet.
Fördelar:
- Internationellt erkänd
- Förbättrad riskhantering
- Färre granskningar av revisorer
- Visar upp en image av ”kontroll” för kunderna
- Stödjer professionalisering
ISAE 3000
Standarden ISAE 3000 är ett ramverk för att hantera och rapportera om nya tekniska risker och tillhörande kontrollrutiner. Detta gäller en organisations säkerhet, organisationens konfidentialitet, processintegritet och kundintegritet. ISAE 3000-standarden syftar till att kombinera det bästa av två världar. Det är en kombination av ökad assurance för operativ effektivitet från ISAE-standarderna och det förfinade fokuset på informationssäkerhet, som exemplifieras av ISO 27001-standarden.
Fördelar:
- Internationellt erkänt
- Robust standard för informationssäkerhet
- Erkänt av revisorer
- Stödjer organisatorisk professionalisering
ISO 27001
Utformningen och implementeringen av ett ledningssystem för informationssäkerhet (ISMS) fastställs i ISO 27001-standarden. ISO 27001 kan användas för att implementera informationssäkerhet. Den senaste versionen av ISO 27001-standarden publicerades 2017. Denna standard är baserad på HLS-strukturen. Läs mer i vår artikel om HLS-strukturen här.
ISO 27001 är globalt erkänd som en av de bästa standarderna för informationssäkerhet. Det är den faktiska ’bästa praxis’ för att hantera informationssäkerhet inom en organisation.
